響應(yīng)式網(wǎng)站滑動(dòng)如何注冊(cè)百度賬號(hào)
信息收集
1.判斷靶機(jī)ip
原理:開靶機(jī)之前nmap掃一次網(wǎng)段,再開靶機(jī)之后掃一次,查看多出來(lái)的ip就是靶機(jī)ip
ip=192.168.98.174
2.判斷端口服務(wù),系統(tǒng)版本
a.確定端口
b.-p指定端口進(jìn)一步收集
c.信息篩選
-
1.端口:22,80,139,445
-
2.系統(tǒng)是ubuntu,版本在2.6.9-2.6.33之間,內(nèi)核是kernel
-
3.apache是2.2.8版本,php版本是5.2.4
-
4.ssh服務(wù)
3.判斷端口可能存在漏洞
a--script=vuln nmap自帶腳本掃描
b.niktio漏洞掃描工具掃
c.信息篩選
-
1.database.sql數(shù)據(jù)庫(kù)文件泄露
-
2.#wp-config.php,member.php,index.php,checklogin.php,images目錄的泄露
-
總結(jié):泄露信息很少,從web頁(yè)面入手
4.目錄掃描
dirsearch和dirb判斷存在目錄
index.php
database.sql
#wp-config.php
member.php
checklogin.php
images
5.頁(yè)面分析
首頁(yè)查看
給了一個(gè)登錄框,我們先用wappalyzer插件看一下是什么組件
接著掃一下判斷cms(沒(méi)掃出來(lái))
泄露的sql表
有一個(gè)用戶john出來(lái)了,我們拿著這個(gè)回去登錄一下看看
(這個(gè)失敗了,我們先記著)
看看#wp-config.php
和剛才的首頁(yè)是一樣的
images目錄
總結(jié):全部指向那個(gè)登錄框,都沒(méi)啥思路,看看能不能sql注入吧,下面實(shí)戰(zhàn)嘗試
(在密碼處發(fā)現(xiàn)了報(bào)錯(cuò)的回顯信息,應(yīng)該就是有sql)
上實(shí)戰(zhàn)
sql注入
經(jīng)過(guò)嘗試以后發(fā)現(xiàn)注入點(diǎn)在密碼輸入框,1' or 1=1 --+ 萬(wàn)能密碼出現(xiàn)以下錯(cuò)誤
改一下注釋符看看:1' or 1=1 #
這里提示用戶有問(wèn)題,我們使用剛才泄露的john用戶
登錄成功
ssh登錄
上面登錄以后出現(xiàn)了賬號(hào)和密碼,聯(lián)想我們的ssh服務(wù),用它們直接連上了(MyNameIsJohn是密碼)
shell逃逸
進(jìn)去以后發(fā)現(xiàn)輸入絕大多數(shù)命令都會(huì)被踢......
為什么呢,去查了一下發(fā)現(xiàn)有個(gè)東西叫做rshell,它全稱叫restricted shell ,是一種限制的措施,只讓你輸入某些命令,防止你的進(jìn)一步滲透
寥寥無(wú)幾啊......看起來(lái)echo是比較好利用的一個(gè)命令,去網(wǎng)上查一下有關(guān)shell逃逸的內(nèi)容
echo?os.system('/bin/bash')
執(zhí)行
注:現(xiàn)在大家可以看我是root用戶權(quán)限是因?yàn)槲液竺娌叛a(bǔ)的筆記,我們下面開始說(shuō)提權(quán)
提權(quán)
原理
靶機(jī)常考的是suid提權(quán),這里先說(shuō)一下什么是suid,里面的重點(diǎn)其實(shí)是"s"
類似linux的rwx(對(duì)應(yīng)讀,寫和執(zhí)行),suid里面的s指的是s權(quán)限,而uid不重要,就是標(biāo)識(shí)符的意思。
s權(quán)限允許普通用戶以root權(quán)限運(yùn)行該命令或者文件,也就是說(shuō)我們?cè)谄胀ㄓ脩粝?#xff0c;可以通過(guò)某種方式來(lái)找到具有s權(quán)限的命令,然后進(jìn)行提權(quán)
利用
1.先利用find命令來(lái)找到具有s權(quán)限的命令
find的使用如下
find?/?-perm?-u=s?-type?f?2>/dev/null
這里的-perm參數(shù)是說(shuō)明后面檢索的是權(quán)限,
-u=s指的是root用戶擁有的文件
type類型這里設(shè)置為f普通文件
2>/dev/null指的是用輸出流把報(bào)錯(cuò)信息丟掉,只留下有用的信息
2.對(duì)應(yīng)上面的任意命令,去其目錄下看看權(quán)限
(可以看到是有的,rws)
3.利用
把passwd里面uid改成0(不同普通用戶有各自不同的 UID,root是0)
這里我們已經(jīng)改好了,重新連上就是root權(quán)限了