信息收集
1.判断靶机ip
原理:开靶机之前nmap扫一次网段,再开靶机之后扫一次,查看多出来的ip就是靶机ip
ip=192.168.98.174
2.判断端口服务,系统版本
a.确定端口
b.-p指定端口进一步收集
c.信息筛选
-
1.端口:22,80,139,445
-
2.系统是ubuntu,版本在2.6.9-2.6.33之间,内核是kernel
-
3.apache是2.2.8版本,php版本是5.2.4
-
4.ssh服务
3.判断端口可能存在漏洞
a--script=vuln nmap自带脚本扫描
b.niktio漏洞扫描工具扫
c.信息筛选
-
1.database.sql数据库文件泄露
-
2.#wp-config.php,member.php,index.php,checklogin.php,images目录的泄露
-
总结:泄露信息很少,从web页面入手
4.目录扫描
dirsearch和dirb判断存在目录
index.php
database.sql
#wp-config.php
member.php
checklogin.php
images
5.页面分析
首页查看
给了一个登录框,我们先用wappalyzer插件看一下是什么组件
接着扫一下判断cms(没扫出来)
泄露的sql表
有一个用户john出来了,我们拿着这个回去登录一下看看
(这个失败了,我们先记着)
看看#wp-config.php
和刚才的首页是一样的
images目录
总结:全部指向那个登录框,都没啥思路,看看能不能sql注入吧,下面实战尝试
(在密码处发现了报错的回显信息,应该就是有sql)
上实战
sql注入
经过尝试以后发现注入点在密码输入框,1' or 1=1 --+ 万能密码出现以下错误
改一下注释符看看:1' or 1=1 #
这里提示用户有问题,我们使用刚才泄露的john用户
登录成功
ssh登录
上面登录以后出现了账号和密码,联想我们的ssh服务,用它们直接连上了(MyNameIsJohn是密码)
shell逃逸
进去以后发现输入绝大多数命令都会被踢......
为什么呢,去查了一下发现有个东西叫做rshell,它全称叫restricted shell ,是一种限制的措施,只让你输入某些命令,防止你的进一步渗透
寥寥无几啊......看起来echo是比较好利用的一个命令,去网上查一下有关shell逃逸的内容
echo os.system('/bin/bash')
执行
注:现在大家可以看我是root用户权限是因为我后面才补的笔记,我们下面开始说提权
提权
原理
靶机常考的是suid提权,这里先说一下什么是suid,里面的重点其实是"s"
类似linux的rwx(对应读,写和执行),suid里面的s指的是s权限,而uid不重要,就是标识符的意思。
s权限允许普通用户以root权限运行该命令或者文件,也就是说我们在普通用户下,可以通过某种方式来找到具有s权限的命令,然后进行提权
利用
1.先利用find命令来找到具有s权限的命令
find的使用如下
find / -perm -u=s -type f 2>/dev/null
这里的-perm参数是说明后面检索的是权限,
-u=s指的是root用户拥有的文件
type类型这里设置为f普通文件
2>/dev/null指的是用输出流把报错信息丢掉,只留下有用的信息
2.对应上面的任意命令,去其目录下看看权限
(可以看到是有的,rws)
3.利用
把passwd里面uid改成0(不同普通用户有各自不同的 UID,root是0)
这里我们已经改好了,重新连上就是root权限了
