一、前情提要

二、實戰(zhàn)打靶

1. 信息收集

1.1. 主機發(fā)現(xiàn)

1.2. 端口掃描

1.3.目錄遍歷

1.4. 敏感信息

2.漏洞發(fā)現(xiàn)

2.1.登錄框萬能密碼

2.2.系統(tǒng)用戶密碼-ssh鏈接

2.3.mysql-udf提權(quán)

---

一、前情提要

kali黑客-利用searchsploit搜索exp一鍵化攻擊-CSDN博客

一篇文章帶你理解nmap的使用-nmap使用手冊-CSDN博客

類OCSP靶場-Kioptrix系列-Kioptrix Level 1-CSDN博客

類OCSP靶場-Kioptrix系列-Kioptrix Level 2-CSDN博客

類OCSP靶場-Kioptrix系列-Kioptrix Level 3-CSDN博客

類OCSP靶場-Kioptrix系列-Kioptrix Level 4-CSDN博客

類OCSP靶場-Kioptrix系列-Kioptrix Level 5-CSDN博客

---

二、實戰(zhàn)打靶

這個靶機練習(xí)，相當(dāng)于內(nèi)網(wǎng)滲透。

1. 信息收集

1.1. 主機發(fā)現(xiàn)

在同一局域網(wǎng)下的主機發(fā)現(xiàn)思路：

• 通過ifconfig或ip add的方式查看當(dāng)前主機的網(wǎng)段

• 利用nmap對掃描對應(yīng)子網(wǎng)內(nèi)的所有主機在線情況

執(zhí)行完命令可以發(fā)現(xiàn)，該網(wǎng)段除了我們的kali還有一臺主機在線。

(PS:在虛擬網(wǎng)絡(luò)下1和2這兩個ip分別對應(yīng)的是網(wǎng)卡和網(wǎng)關(guān)。)

1.2. 端口掃描

還是利用nmap進(jìn)行端口掃描并探測端口服務(wù)的版本。

• 命令：nmap -sT -sV - -O --min-rate 10000 -p- 192.168.xxx.xxx

  • -sT：以TCP三次握手的形式進(jìn)行掃描

  • -sV：掃描各服務(wù)的版本

  • -O：掃描目標(biāo)機器的操作系統(tǒng)

  • --min-rate：最少的發(fā)包數(shù)量

  • -p-：全端口掃描

1.3.目錄遍歷

1.4. 敏感信息

發(fā)現(xiàn)開放了139端口加個smb掃描

• enum4linux -U -M -S -G -d 192.168.150.135

這個是根據(jù)端口探測、手工、目錄爆破信息收集來的。

user:[nobody] rid:[0x1f5]
user:[robert] rid:[0xbbc]
user:[root] rid:[0x3e8]
user:[john] rid:[0xbba]
user:[loneferret] rid:[0xbb8]
john在目錄掃描也出現(xiàn)了，應(yīng)該不僅是系統(tǒng)用戶也和這個網(wǎng)站搭建的框架有關(guān)。
?
22/tcp  open  ssh ? ? ? ? OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
80/tcp  open  http ? ? ?  Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

2.漏洞發(fā)現(xiàn)

目錄掃描的結(jié)果訪問也是index目錄，但是john多次出現(xiàn)，要么就是框架要么就是管理員。

2.1.登錄框萬能密碼

直接當(dāng)用戶名進(jìn)行密碼爆破

麻爪了，字節(jié)都不一樣，選個最長的登錄，登錄成功萬能密碼。

2.2.系統(tǒng)用戶密碼-ssh鏈接

還記得前面smb掃描出來的結(jié)果嗎，john跟web有關(guān)的同時也是系統(tǒng)用戶，我們這里用ssh鏈接。

進(jìn)去后發(fā)現(xiàn)什么命令都報錯，但是存在echo命令，拿echo命令將會話提升至交互式會話，可以執(zhí)行命令了。

進(jìn)行一波常規(guī)信息收集，這個版本號和操作系統(tǒng)，太熟悉了臟牛漏洞直接上。

wget下載exp失敗了，嘗試了其他方法也不行，繼續(xù)信息收集。

2.3.mysql-udf提權(quán)

在信息收集的過程中，我們查看了root啟用了什么進(jìn)程，發(fā)現(xiàn)有個mysql

學(xué)過后端的都知道，無論什么語言每個網(wǎng)站都一個鏈接數(shù)據(jù)庫的配置文件里面有賬號密碼，我們找到嘗試?yán)眠@個以root權(quán)限運行的mysql服務(wù)進(jìn)行提權(quán)。

• ps -ef | grep root

/var/www目錄下發(fā)現(xiàn)了數(shù)據(jù)庫連接文件

• 直接本地連接，之前沒有掃到3306端口有可能不對外開放

  • mysql -u root -p

mysql的提權(quán)方式有一個叫做udf提權(quán)，我們?nèi)タ纯磚df表

利用 sys_exec()函數(shù)將john用戶添加到管理員組。

命令 usermod -a -G admin john 用于在基于 Linux 的系統(tǒng)中修改用戶的組成員資格。以下是命令的分解：

• usermod：這是一個用于修改用戶賬戶的命令行工具。

• -a：表示“附加”選項，通常與 -G 一起使用。它確保將用戶添加到指定的組時不會移除用戶已經(jīng)屬于的其他組。

• -G：指定用戶將要添加的組。

• admin：這是用戶將被添加到的組的名稱。在這個例子中，用戶將被添加到 admin 組。

• john：這是需要被修改的用戶名。用戶名是 john。

該命令將用戶 john 添加到 admin 組，但不會將他從其他已有的組中移除。通常，admin 組的用戶會擁有更高的權(quán)限（例如使用 sudo），允許他們執(zhí)行管理員級別的任務(wù)。

我們直接用第三關(guān)用過的sudo /bin/bash就可以切換為root了。