kali滲透綜合靶機(十一)--BSides-Vancouver靶機

kali滲透綜合靶機(十一)--BSides-Vancouver靶機

靶機下載地址：https://pan.baidu.com/s/1s2ajnWHNVS_NZfnAjGpEvw

一、主機發現

1.netdiscover -i eth0 -r 192.168.10.0/24

　　

二、埠掃描

1. masscan --rate=10000 -p0-65535 192.168.10.170

　　

三、埠服務識別

1. nmap -sV -T4 -O -p  2122,80 192.168.10.175

　　

四、漏洞查詢與利用

80埠

1.瀏覽器訪問http://192.168.10.175,沒發現有用資訊,嘗試目錄掃描

　　

2.發現http://192.168.10.175/robots.txt 

　　

3.瀏覽器訪問http://192.168.10.175/backup_wordpress/

　　

4.使用wpscan掃描http://192.168.10.175/backup_wordpress,列舉wordpress使用者

　　

5.使用burp破解wordpress使用者的密碼,使用burp自帶的字典,成功破解出密碼enigma

　　

Getshell方式一:

6.在404頁面上傳一句話

　　

7. 在http://192.168.10.175/backup_wordpress任意輸入引數p的值觸發執行404頁面的程式碼

　　

8.菜刀連線

　　

9.菜刀上傳反彈shell到/tmp目錄,然後執行,在kali監聽,獲得shell

　　

10.開始提權

21埠(vsftpd 2.3.5)

1.發現允許匿名訪問

　　

2.訪問ftp服務,發現備份的使用者名稱檔案

　　

　　

3.通過遠端ssh登入測試,發現只有anne使用者允許ssh遠端登入

　　

Getshell方式二:

4.使用hydra暴力破解

　　

5.遠端登入

　　

提權一:

6.檢視是否屬於sudo組,屬於sudo組,直接獲得管理員許可權

　　

提權二:

計劃任務結合Cleanup檔案提權

1.檢視計劃任務

　　

2.檢視cleanup的許可權,可以看到其他使用者也擁有也寫入許可權

　　

3.生成反彈shell

　　

4.上傳shell，並覆蓋原先的cleanup檔案

5.觸發反彈(cat cleanup),shell,kali監聽,成功獲得root

　　

　　

6.或者自己在/tmp目錄寫入一個php的反彈shell，然後通過cp覆蓋/usr/local/bin/cleanup檔案，繞過bin目錄寫入限制

　　

7.觸發,kali監聽獲得管理員許可權

　　

Getshell方式三:

　　

　　

 

 

總結:

1.資訊收集、埠掃描、服務識別

2、目錄掃描，敏感資訊洩露

3、wpscan掃描漏洞、列舉wordpress使用者

4、暴力破解wordpress密碼

5、404頁面上傳一句話，觸發404頁面,菜刀連線，菜刀上傳反彈shell,觸發、kali端監聽獲得shell

6、ftp匿名訪問,發現敏感資訊賬戶

7、hydra暴力破解ssh使用者密碼

8、sudo提權

9、利用計劃任務結合檔案許可權配置不當提權