說明,爲了節省學習時間,接下來的靶機博主都會將思路體現出來;
然後重要步驟寫下來,如果大家還有什麼不會私信我。
重點是思路。
環境: 靶機 DC-1 IP 未知
測試機: kali IP: 192.168.2.20
博主仁慈附上DC系列 下載地址:
http://www.five86.com/dc-4.html
步驟:
- 主機發現 端口掃描 服務掃描
Host is up (0.030s latency).
Not shown: 65531 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
| ssh-hostkey:
| 1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
| 2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
|_ 256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)
80/tcp open ssl/http Apache/2.2.22 (Debian)
|http-server-header: Apache/2.2.22 (Debian)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 34892/udp6 status
| 100024 1 46633/tcp status
| 100024 1 53139/tcp6 status
| 100024 1 59078/udp status
46633/tcp open status 1 (RPC #100024)
MAC Address: 00:0C:29:FB:E8:E7 (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.16
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 29.74 ms bogon (192.168.2.133)
至於本地Localhost 變爲了bogon
原因:
終端在初始化,需要確定主機的名字,此時就會向DNS服務器發送一個請求反向查詢本機的IP地址;然後把得到的主機名作爲自己的主機名。如果沒有反向解析的結果
就會顯示主機設置的主機名。
OS and Service detection performed. Please report any incorrect results at
Nmap done: 1 IP address (1 host up) scanned in 155.09 seconds
2. 發現ssh,80,rpc 111端口開着。
訪問網站
思路: 先看網站是自己寫的還是用的成熟CMS 尋找漏洞。
網站CMS爲 drupal7
在kali下直接尋找漏洞
接下來就是提權,找到第一個flag
利用suid提權
find / -perm -u=s -type f 2>/dev/null
發現find可以利用
隨便創建一個文件 find xx “/bin/bash” ;
利用find 執行時具有root權限
注意 利用命令執行提權時,要注意本來用戶的shell是什麼。
這裏提權失敗 因爲ww-data本來是 /bin/sh shell,因此
利用命令執行 -exec 產生的shell應該一樣。
這個shell是 /bin/sh 如果非要bash 向passwd添加一個 uid,gid爲0用戶
並且在shadow裏面添加密碼(hash過的)
然後利用ssh登錄。
拿到finalflag。
DC-2 靶機 實驗
環境: DC-2 IP未知
測試機 kali IP: 192.168.2.20
步驟:
- 主機發現,掃描
DC-2 靶機 訪問網站 IP會重定向到域名上,因此要設置解析。
訪問官網 發現 wordpress , cewl 社工生成密碼字典
利用cewl -w 生成專屬的社工密碼字典,然後用戶名枚舉。
得到 admin.jerry,tom 三個用戶。
接下來就要爆破 這三個用戶的密碼了。
(1) 掃出登錄地址 使用Burp暴力破解
tom parturient
jerry adipiscing
(2) 使用hydra 爆破
嘗試ssh登錄。
進來發現是受限shell
vi 編輯
BASH_SMCS[C]=/bin/sh;C
/bin/bash
發現shell 已經從rbash 變爲 bash了
現在導入環境變量 export PATH=$PATH: /bin/
根據提示 su 到jerry
發現 使用git 可以以root身份運行,且不需要密碼。
直接拿到root。
發現3306端口開放,先將root密碼做個備份。更改root密碼,進入數據庫。
修改mysql的配置文件進去(my.cnf)
將文件上傳到kali監聽的ftp服務器。
然後kali上 將數據庫導入 自己的庫中。
將導出的數據庫導入
create database 庫名;
source 庫名.sql
將導出的表導入;
source 表名.sql
// 重點 清理痕跡(清理日誌)退出
- 先將數據庫文件清理,更改Mysql 配置文件
清理 /var/log/auth.log日誌 Debian Ubuntu 都是auth.log 記錄了安全日誌
rhel 裏面是 /var/log/security。 - 將備份密碼改回去。
退出登錄。
至此一次數據信息泄露就出現了。
導入物理機:
可以發現 數據庫中記錄了所有信息(包括密碼,你在網站上的信息,寫的東西,時間)
