kali滲透綜合靶機(十)--Raven靶機
一、主機發現
1.netdiscover -i eth0 -r 192.168.10.0/24
二、埠掃描
1. masscan --rate=10000 -p0-65535 192.168.10.169
三、埠服務識別
nmap -sV -T4 -O -p 22,80,111,47642 192.168.10.169
四、漏洞查詢與利用
22埠(OpenSSH 6.7p1)
1.當前版本存在使用者列舉漏洞,利用msf中auxiliary/scanner/ssh/ssh_enumusers模組列舉ssh使用者,獲得使用者bin、daemon、games、lp、mail、man、michael、news、nobody、proxy、root、steven、sync、sys、sys/change_on_install、uucp,一看掃描出來那麼多使用者,可能存在誤判
2.排除可能不是使用者,然後製作一個使用者名稱字典
3.使用hydra破解ssh,成功破解出michael的密碼michael
4.使用michael賬戶遠端登入
5.檢視是否能用sudo提權,核心提權等等
6.切換到/var/www/html目錄下
7.檢視wp-config.php,發現mysql使用者名稱以及密碼
8.檢視開放的埠,發現開放3306
提權方式一:
9.嘗試mysql登入
10.檢視版本,以及資料庫
11.檢視錶
12.檢視錶中的內容,發現使用者名稱michael和steven,以及對應的密碼的hash值
13.對steven使用者密碼的hash值線上解密,獲得密碼pink84
14.嘗試使用steven 遠端
15.使用sudo python -c 'import pty;pty.spawn("/bin/bash")' 繞過限制,獲得管理員許可權
提權方式二:
Mysql udf提權
1.檢視mysql的執行許可權,可以看到為root,mysql的版為5.5.60,可以利用mysql udf提權
2.檢視mysql udf漏洞
3.編譯
4. 靶機wget下載kali編譯生成的1518.so
5.靶機登入mysql,然後按照exp例子做,注意其中dumpfile的路徑要根據前面程式(ps -ef|grep mysql)列出來的plugin目錄(plugin-dir=/usr/lib/mysql/plugin)改動一下
6.退出mysql,建立一個檔案, 使用“find”程式來執行命令,獲得root許可權
80埠(Apache httpd 2.4.10)
1.dirb掃描
2.發現http://192.168.10.169/wordpress/
2.1嘗試用wpscan掃描wordpress
wpscan --url http://192.168.10.169/wordpress/ -e u 獲得michael和steven兩個使用者
2.2由於wordpress後臺無法遠端訪問,並且當前版本的wordpress沒有什麼可利用的漏洞,暫時放棄wordpress
3. 發現http://192.168.10.169/vendor/
3.1訪問http://192.168.10.169/vendor/PATH,發現當前路徑
3.2訪問http://192.168.10.169/vendor/VERSION,猜測可能是PHPMailer的版本
3.3 searchsploit PHPMailer檢視是否有漏洞,發現有漏洞利用指令碼
3.4修改exp
1.頂部加上# -*- coding: utf-8 -*-宣告,否則註釋裡一大堆非ASCII字元會報錯
2.修改target為靶機IP地址,利用檔案為contact.php
3.修改後門檔案路徑名稱
4. 修改反彈shell的地址為nc監聽伺服器的ip(KALI主機IP)和埠
5. 執行該python指令碼需要安裝對應的包(pip install requests-toolbelt)
3.5python執行指令碼,生成了一個利用用檔案contact.php
可能報錯,pip安裝所需要的模組即可
3.6訪問http://192.168.10.169/contact.php,此時就會生成後門檔案shell.php
3.7kali開啟監聽,接著訪問後門檔案:http://192.168.1.12/shell.php
3.8接下來就是提權了,方式跟上面一樣。
總結:
1.資訊收集、目錄掃描
2.ssh使用者列舉、ssh爆破
3.繞過限制sudo提權
4.mysql udf提權
5.wpscan掃描wordpress cms
6.PHPMailer遠端程式碼執行getshell