kali滲透綜合靶機(十七)--HackInOS靶機
靶機下載地址:https://www.vulnhub.com/hackinos/HackInOS.ova
一、主機發現
1.netdiscover -i eth0 -r 192.168.10.0/24
二、端口掃描
1. masscan --rate=10000 -p0-65535 192.168.10.137
三、端口服務識別
nmap -sV -T4 -O -p 22,8000 192.168.10.137
四、漏洞復現與利用
1.瀏覽器訪問http://192.168.10.137:8000/,點擊頁面鏈接,發現該頁面是個靜態頁面
2.掃描目錄
2.1發現http://192.168.10.137:8000/robots.txt
2.2發現上傳點以及上傳目錄
2.3查看upload.php頁面源碼,發現github地址
2.4訪問對應的github,發現泄露上傳頁面源碼
2.5審計源碼,發現對上傳的文件做了限制(限制上傳的mime類型為image/png或者image/gif),然后對上傳后的文件進行了重命名處理(文件名拼接1~100之間的隨機數,然后在對拼接之后的文件名進行MD5加密,獲得新的文件名)
2.6通過對源碼的分析,發現只對上傳的文件mime類型做了限制,沒有限制文件后綴,可以通過在文件內容開頭添加GIF89a來繞過服務器端的限制
在php反彈內容開頭添加GIF89a並上傳,下圖看到上傳成功
2.7嘗試直接用菜刀鏈接,失敗,分析源碼發現對文件的文件做了重命名,編寫python腳本,生成文件名字典
2.8運行python腳本,生成文件名字典
2.9 使用dirb爆破webshell目錄,成功爆破出來目錄
2.10過幾分鍾,爆破,發現沒有爆破出來,懷疑目標系統上有防火牆或者自動清理程序
2.11 kali開啟監聽,重啟上傳php反彈shell,dirb爆破目錄,成功獲得shell
2.12開啟一個終端
3.提權
3.1對主機進行信息收集,查看wordpress配置文件
3.2查看開放的端口
3.3 查看可執行的二進制文件
3.4 發現使用tail可以查看/etc/shadow文件
3.5把/etc/shadow中root的hash復制到一個文件,然后使用john進行爆破,成功破解出密碼john
3.6使用su root登錄root,成功登錄
內網滲透
1.查看ip,發現是內網ip
2.使用msf那反彈shell,進而對整個內網進行信息收集
2.1msf反彈shell
Msf 生成payload
2.2把payload在靶機的root權限下執行,msf等待反彈
3.使用自動添加路由模塊,添加通往靶機的路由
4.掃描內網網段
5.發現172.18.0.2開放了3306端口
5.1,使用之前在wordpress配置文件中找到的用戶名和密碼,嘗試登錄數據庫
5.2查看敏感信息,發現host_ssh_cred
5.3查看host_ssh_cred表里的內容,發現經過加密的密碼
5.4 使用md5在線解密
5.5ssh登錄靶機
6.提權
docker run -v /:/root -i -t ubuntu /bin/bash 成功獲得root權限
總結:
1、信息收集
2.github源碼泄露
3、python編寫腳本生成隨機文件名,dirb爆破目錄
4、目標疑似有自動清理程序,菜刀失敗,使用反彈shell
5、使用tail -c1K 查看/etc/shadow文件,使用john爆破root的密碼
6、內網滲透,使用msf反彈shell,添加路由,端口掃描、主機發現
7、docker 提權