一、前情提要

二、實(shí)戰(zhàn)打靶

1. 信息收集

1.1. 主機(jī)發(fā)現(xiàn)

1.2. 端口掃描

1.3.目錄遍歷

1.4. 敏感信息

2.漏洞發(fā)現(xiàn)

2.1.登錄框萬(wàn)能密碼

2.2.系統(tǒng)用戶密碼-ssh鏈接

2.3.mysql-udf提權(quán)

---

一、前情提要

kali黑客-利用searchsploit搜索exp一鍵化攻擊-CSDN博客

一篇文章帶你理解nmap的使用-nmap使用手冊(cè)-CSDN博客

類OCSP靶場(chǎng)-Kioptrix系列-Kioptrix Level 1-CSDN博客

類OCSP靶場(chǎng)-Kioptrix系列-Kioptrix Level 2-CSDN博客

類OCSP靶場(chǎng)-Kioptrix系列-Kioptrix Level 3-CSDN博客

類OCSP靶場(chǎng)-Kioptrix系列-Kioptrix Level 4-CSDN博客

類OCSP靶場(chǎng)-Kioptrix系列-Kioptrix Level 5-CSDN博客

---

二、實(shí)戰(zhàn)打靶

這個(gè)靶機(jī)練習(xí)，相當(dāng)于內(nèi)網(wǎng)滲透。

1. 信息收集

1.1. 主機(jī)發(fā)現(xiàn)

在同一局域網(wǎng)下的主機(jī)發(fā)現(xiàn)思路：

• 通過(guò)ifconfig或ip add的方式查看當(dāng)前主機(jī)的網(wǎng)段

• 利用nmap對(duì)掃描對(duì)應(yīng)子網(wǎng)內(nèi)的所有主機(jī)在線情況

執(zhí)行完命令可以發(fā)現(xiàn)，該網(wǎng)段除了我們的kali還有一臺(tái)主機(jī)在線。

(PS:在虛擬網(wǎng)絡(luò)下1和2這兩個(gè)ip分別對(duì)應(yīng)的是網(wǎng)卡和網(wǎng)關(guān)。)

1.2. 端口掃描

還是利用nmap進(jìn)行端口掃描并探測(cè)端口服務(wù)的版本。

• 命令：nmap -sT -sV - -O --min-rate 10000 -p- 192.168.xxx.xxx

  • -sT：以TCP三次握手的形式進(jìn)行掃描

  • -sV：掃描各服務(wù)的版本

  • -O：掃描目標(biāo)機(jī)器的操作系統(tǒng)

  • --min-rate：最少的發(fā)包數(shù)量

  • -p-：全端口掃描

1.3.目錄遍歷

1.4. 敏感信息

發(fā)現(xiàn)開(kāi)放了139端口加個(gè)smb掃描

• enum4linux -U -M -S -G -d 192.168.150.135

這個(gè)是根據(jù)端口探測(cè)、手工、目錄爆破信息收集來(lái)的。

user:[nobody] rid:[0x1f5]
user:[robert] rid:[0xbbc]
user:[root] rid:[0x3e8]
user:[john] rid:[0xbba]
user:[loneferret] rid:[0xbb8]
john在目錄掃描也出現(xiàn)了，應(yīng)該不僅是系統(tǒng)用戶也和這個(gè)網(wǎng)站搭建的框架有關(guān)。
?
22/tcp  open  ssh ? ? ? ? OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
80/tcp  open  http ? ? ?  Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

2.漏洞發(fā)現(xiàn)

目錄掃描的結(jié)果訪問(wèn)也是index目錄，但是john多次出現(xiàn)，要么就是框架要么就是管理員。

2.1.登錄框萬(wàn)能密碼

直接當(dāng)用戶名進(jìn)行密碼爆破

麻爪了，字節(jié)都不一樣，選個(gè)最長(zhǎng)的登錄，登錄成功萬(wàn)能密碼。

2.2.系統(tǒng)用戶密碼-ssh鏈接

還記得前面smb掃描出來(lái)的結(jié)果嗎，john跟web有關(guān)的同時(shí)也是系統(tǒng)用戶，我們這里用ssh鏈接。

進(jìn)去后發(fā)現(xiàn)什么命令都報(bào)錯(cuò)，但是存在echo命令，拿echo命令將會(huì)話提升至交互式會(huì)話，可以執(zhí)行命令了。

進(jìn)行一波常規(guī)信息收集，這個(gè)版本號(hào)和操作系統(tǒng)，太熟悉了臟牛漏洞直接上。

wget下載exp失敗了，嘗試了其他方法也不行，繼續(xù)信息收集。

2.3.mysql-udf提權(quán)

在信息收集的過(guò)程中，我們查看了root啟用了什么進(jìn)程，發(fā)現(xiàn)有個(gè)mysql

學(xué)過(guò)后端的都知道，無(wú)論什么語(yǔ)言每個(gè)網(wǎng)站都一個(gè)鏈接數(shù)據(jù)庫(kù)的配置文件里面有賬號(hào)密碼，我們找到嘗試?yán)眠@個(gè)以root權(quán)限運(yùn)行的mysql服務(wù)進(jìn)行提權(quán)。

• ps -ef | grep root

/var/www目錄下發(fā)現(xiàn)了數(shù)據(jù)庫(kù)連接文件

• 直接本地連接，之前沒(méi)有掃到3306端口有可能不對(duì)外開(kāi)放

  • mysql -u root -p

mysql的提權(quán)方式有一個(gè)叫做udf提權(quán)，我們?nèi)タ纯磚df表

利用 sys_exec()函數(shù)將john用戶添加到管理員組。

命令 usermod -a -G admin john 用于在基于 Linux 的系統(tǒng)中修改用戶的組成員資格。以下是命令的分解：

• usermod：這是一個(gè)用于修改用戶賬戶的命令行工具。

• -a：表示“附加”選項(xiàng)，通常與 -G 一起使用。它確保將用戶添加到指定的組時(shí)不會(huì)移除用戶已經(jīng)屬于的其他組。

• -G：指定用戶將要添加的組。

• admin：這是用戶將被添加到的組的名稱。在這個(gè)例子中，用戶將被添加到 admin 組。

• john：這是需要被修改的用戶名。用戶名是 john。

該命令將用戶 john 添加到 admin 組，但不會(huì)將他從其他已有的組中移除。通常，admin 組的用戶會(huì)擁有更高的權(quán)限（例如使用 sudo），允許他們執(zhí)行管理員級(jí)別的任務(wù)。

我們直接用第三關(guān)用過(guò)的sudo /bin/bash就可以切換為root了。