Configuración de la tarjeta de red virtual
Cuestiones ambientales:
- El puente de la máquina virtual no puede obtener la dirección IP, por lo que se puede solucionar restaurando la configuración predeterminada y especificando la tarjeta de red física
- Máquina de destino 1, la tarjeta de red interna no puede obtener la dirección IP, por lo que se puede solucionar agregando archivos de configuración.
Empiece a penetrar:
Tiempos: 192.168.1.13
Centos7: 192.168.1.16
192.168.22.11
Puerto de escaneo
Utilice nmap para buscar vulnerabilidades
nmap -sS -A 192.168.101.91 --script = vuln
Lento, sin capturas de pantalla
Visita 80
Prueba de acceso no autorizado a la pagoda, inexistente
Consulta el archivo robots.txt para encontrar flag1.
Baidu busca vulnerabilidades de thinkphp v5 y encuentra vulnerabilidades de ejecución remota de código
https://www.cnblogs.com/backlion/p/10106676.html
http://192.168.1.16/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
Use el comando para ejecutar y ver flag2:
Escribir una oración troyana
Al usar el comando para ejecutar el caballo de Troya para buscar y escribir, se encontró la tercera bandera
Se modificó una nueva carga útil para escribir una oración Trojan shy.php, la anterior se escribió correctamente, pero no se encontró la ruta.
Use un helicóptero para conectarse
recoger mensaje:
1 , uname -a
Linux 3.10.0-1062.1.1.el7.x86_64 x86_64
Versión de kernel: 3
Revisión mayor: 10
0-1062: revisión menor
- Versión de parche
2, hostnamectl
Centos 7 x86
De acuerdo con la información recopilada, use msf para generar la carga útil relacionada
Utilice el helicóptero para cargar el archivo troyano generado
Chopper da permiso y corre
Msf recibió shell
Pyhotn -c'import pty; pty.spawn ("/ bin / bash") 'para establecer un shell interactivo
Intento de suid privilegio:
buscar / -user root –perm -4000 -print 2> / dev / null
Compruebe si se puede escribir en passwd shadow
Cómo escribir, reemplace la contraseña de root X de passwd con nuestro propio hash, como reemplazarlo con el hash en su propio linux, puede modificar la contraseña de root del objetivo
Si Shadow es legible, se puede arruinar si es legible
¿Sudo es un abuso? El problema es que ni siquiera sé la contraseña del usuario www. ¿Puedo cambiar mi contraseña? Acabo de probarla.
sudo es un comando que permite a los usuarios normales utilizar superusuarios. El archivo de configuración es / etc / sudoers El archivo define la cuenta que puede ejecutar sudo, define el acceso de root de una aplicación y si se requiere autenticación de contraseña.
Verifique qué comandos se pueden ejecutar, es decir, cuando no necesita conocer la contraseña de root, debe verificar su propia contraseña de autoridad ordinaria
sudo awk 'BEGIN {system ("/ bin / sh")}'
sudo hombre hombre
sudo curl file: /// etc / shadow
https://gtfobins.github.io/
Ver tareas programadas: también no
Escalada de privilegios de desbordamiento de pila de kernel
Olvídalo, no menciones derechos y penetración directa en la intranet
Verifique que la IP exista en 22 segmentos de red
Agregar ruta
Configurar proxy
Pruebe si el proxy está configurado correctamente, pero no se puede hacer ping (no en el mismo segmento de red), pero se puede acceder, la configuración del proxy es correcta
Utilice nmap para escanear y encontrar el host superviviente 22.22 en el segmento de red 22 de la intranet
Utilice nmap para un escaneo detallado
Descubrió que el puerto 80 está habilitado y Firefox está configurado con proxy
Puerto de acceso 80
Consejos que se encuentran en el código fuente
Empezar a correr
proxychains sqlmap -u "192.168.22.22/index.php?r=vul&keyword=1" -p palabra clave
Biblioteca violenta
Mesa de ráfagas
Campo de ráfaga
Código descifrado
Archivo de robots encontrado dirección entre bastidores
Inicie sesión en segundo plano para encontrar la bandera
Luego me quedé en segundo plano durante mucho tiempo, por qué hay demasiados puntos para usar, carga de archivos, respaldo de la base de datos, ejecución del comando de la base de datos, causa. . . Llevó mucho tiempo
Gestión de back-end para modificar la plantilla (este lugar está atascado durante mucho tiempo, la nueva creación o modificación en otros archivos no funcionará, debe modificar en el archivo de índice y luego dejar que se ejecute automáticamente)
Acceda usando phpinfo () para obtener el directorio raíz del sitio web
http://192.168.22.22/index.php?r=tag
Configure el agente en la máquina física, porque Kali no puede usar el helicóptero.
Utilice herramientas de proxy
Usa un helicóptero para conectarte
Usando el terminal virtual chopper, resulta que todavía hay un segmento de red 33
Recopilación de información ubuntu x86
Use msf para generar el archivo de puerta trasera, porque este servidor está ubicado en la intranet, no en una máquina de borde, y no puede acceder a nuestra máquina de ataque, por lo que no se puede usar el enlace inverso reverse_tcp, solo bind_tcp, conexión directa, bind_tcp abrirá uno en el servidor Puerto, msf se conecta activamente a este puerto. En cuanto a qué puerto abrir se determina cuando el atacante msf genera el archivo de puerta trasera.
Generar
Y sube el helicóptero a la máquina 22.22
Monitoreo de configuración Msf (nota: el puerto aquí debe ser el mismo que el puerto al generar)
Ejecutar en el helicóptero, msf obtiene el caparazón
Encontró que hay un segmento de red 33
Agregar ruta
Al buscar hosts supervivientes, al especificar algunos puertos, se encontró que el host superviviente de la intranet 33.33
Escanee 33.33 puertos abiertos individualmente
Abra el puerto 445, use directamente msf17_010
Cargar módulo kiwi cargar kiwi
ayuda kiwi ver ayuda
creds_all enumera todas las credenciales
Nuevo Usuario
Iniciar sesión correctamente