簡(jiǎn)介

難度：低-->中

攻擊方法：

主機(jī)發(fā)現(xiàn)

端口掃描

強(qiáng)制訪(fǎng)問(wèn)

參數(shù)爆破

文件包含

PHP封裝器

任意文件讀取

SSH公鑰登錄

離線(xiàn)密碼破解

系統(tǒng)權(quán)限漏洞利用

主機(jī)發(fā)現(xiàn)

fping -gaq 192.168.215.0/24?

端口掃描

-A相當(dāng)于-sV -O -sP的集合

80：訪(fǎng)問(wèn)web頁(yè)面

22：爆破

web探測(cè)

gobuster：一款信息收集工具，包括爆破路徑,使用go語(yǔ)言開(kāi)發(fā)的

seclists是一個(gè)很強(qiáng)大的字典文件

?

gobuster dir -u http://192.168.215.159/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x #指定腳本類(lèi)型，-x必須指定才能掃到

發(fā)現(xiàn)了兩個(gè)文件，一個(gè)目錄

接著對(duì)該目錄爆破

發(fā)現(xiàn)了evil.php，訪(fǎng)問(wèn)后沒(méi)有報(bào)錯(cuò)，猜測(cè)到可能需要傳入?yún)?shù)

?

爆破參數(shù)

工具：burpsuite

字典使用的是seclists中的burp-param-name.txt,這里包含了把大部分常見(jiàn)參數(shù)，第二個(gè)參數(shù)使用的是一些常見(jiàn)的值，但是結(jié)果都沒(méi)有，這時(shí)候可能猜測(cè)參數(shù)的值是否是一個(gè)文件名，文件包含

先包含本地用的文件，可能性比較大

第二個(gè)參數(shù)改為../index.html,只有../存在

發(fā)現(xiàn)可以查看系統(tǒng)文件

文件按包含利用思路：

• 包含一個(gè)webshell，webshell在自己的服務(wù)器上（現(xiàn)在自己的服務(wù)器上開(kāi)啟一個(gè)web服務(wù)）
• 使用封裝器
  • php://filter相當(dāng)于一個(gè)任意文件讀取的效果
  • 讀文件：php://filter/convert.base64-encode/resource=文件名

<?php$filename = $_GET['command'];include($filename); ?> 解碼的結(jié)果

• • 寫(xiě)文件：php://filter/write.base64-decode/resource=文件名&txt=寫(xiě)入內(nèi)容的base64編碼
  • 如果寫(xiě)入成功的話(huà)可以直接查看，否則不成功

  ssh公鑰登錄

  可以使用openssl passwd -1生成linux的用戶(hù)密碼

  經(jīng)過(guò)文件包含利用無(wú)果之后，在/etc/passwd文件下，找到其他的普通用戶(hù)（找用戶(hù)路徑在/home底下的），嘗試ssh的暴力破解

  找到mowree

• ?

  嘗試使用ssh登錄

  -v參數(shù)查看登錄過(guò)程中的詳細(xì)信息

  ssh mowree@192.168.215.159 -v

發(fā)現(xiàn)可以使用公鑰登錄

公鑰登錄

原理：

客戶(hù)端生成公鑰和私鑰,在 /home/用戶(hù)名/.ssh/ .ssh/id_rsa（密鑰) ，將公鑰上傳服務(wù)器

服務(wù)端保存在：/用戶(hù)名/.ssh/authorized_keys(保存著公鑰) ，用戶(hù)名是什么就只能用這個(gè)用戶(hù)名登錄

.ssh目錄的權(quán)限必須是700

.ssh/authorized_keys文件權(quán)限必須是600

使用公鑰登錄流程：

ssh mowree@192.168.215.159 -i id_rsa

先找到服務(wù)端的公鑰

存在這個(gè)文件，很多大概率上就知道可以使用ssh公鑰登錄

因?yàn)樵撁荑€的用戶(hù)為mowree即：本機(jī)用戶(hù)登錄到自己的服務(wù)器上，所以私鑰和密鑰都在這個(gè)服務(wù)器上

也是在當(dāng)前服務(wù)器找到私鑰

使用私鑰嘗試登陸服務(wù)器

賦予id_rsa權(quán)限：chmod 600 id_rsa

提示需要密鑰（tips：id_rsa文件要按照格式寫(xiě)入）

?

暴力破解

使用rockyou這個(gè)文件進(jìn)行暴力

解壓：gunzip rockyou.txt.gx

?

爆破工具：hashcat john（john對(duì)文件格式有要求）

john文件下有很多腳本轉(zhuǎn)換工具，包括.ssh轉(zhuǎn)換的工具

?

使用john暴力破解

?得到結(jié)果為：unicorn

使用公鑰登錄

?

提權(quán)

方法：

查看是否存在什么計(jì)劃任務(wù)crontab -l

sudo提權(quán)

suid提權(quán)

/passwd /shadow配置錯(cuò)誤

內(nèi)核漏洞提權(quán)

?

passwd具有w權(quán)限，可以增加或修改root權(quán)限

#生成密碼 openssh passwd -1

?將密碼替換成root的密碼，然后切換成root用戶(hù)登錄即可

vi的刪除使用del?

總結(jié)

以上是生活随笔為你收集整理的一起来打靶-第六周的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。