kali渗透综合靶机(十七)--HackInOS靶机
靶机下载地址:https://www.vulnhub.com/hackinos/HackInOS.ova
一、主机发现
1.netdiscover -i eth0 -r 192.168.10.0/24
二、端口扫描
1. masscan --rate=10000 -p0-65535 192.168.10.137
三、端口服务识别
nmap -sV -T4 -O -p 22,8000 192.168.10.137
四、漏洞复现与利用
1.浏览器访问http://192.168.10.137:8000/,点击页面链接,发现该页面是个静态页面
2.扫描目录
2.1发现http://192.168.10.137:8000/robots.txt
2.2发现上传点以及上传目录
2.3查看upload.php页面源码,发现github地址
2.4访问对应的github,发现泄露上传页面源码
2.5审计源码,发现对上传的文件做了限制(限制上传的mime类型为image/png或者image/gif),然后对上传后的文件进行了重命名处理(文件名拼接1~100之间的随机数,然后在对拼接之后的文件名进行MD5加密,获得新的文件名)
2.6通过对源码的分析,发现只对上传的文件mime类型做了限制,没有限制文件后缀,可以通过在文件内容开头添加GIF89a来绕过服务器端的限制
在php反弹内容开头添加GIF89a并上传,下图看到上传成功
2.7尝试直接用菜刀链接,失败,分析源码发现对文件的文件做了重命名,编写python脚本,生成文件名字典
2.8运行python脚本,生成文件名字典
2.9 使用dirb爆破webshell目录,成功爆破出来目录
2.10过几分钟,爆破,发现没有爆破出来,怀疑目标系统上有防火墙或者自动清理程序
2.11 kali开启监听,重启上传php反弹shell,dirb爆破目录,成功获得shell
2.12开启一个终端
3.提权
3.1对主机进行信息收集,查看wordpress配置文件
3.2查看开放的端口
3.3 查看可执行的二进制文件
3.4 发现使用tail可以查看/etc/shadow文件
3.5把/etc/shadow中root的hash复制到一个文件,然后使用john进行爆破,成功破解出密码john
3.6使用su root登录root,成功登录
内网渗透
1.查看ip,发现是内网ip
2.使用msf那反弹shell,进而对整个内网进行信息收集
2.1msf反弹shell
Msf 生成payload
2.2把payload在靶机的root权限下执行,msf等待反弹
3.使用自动添加路由模块,添加通往靶机的路由
4.扫描内网网段
5.发现172.18.0.2开放了3306端口
5.1,使用之前在wordpress配置文件中找到的用户名和密码,尝试登录数据库
5.2查看敏感信息,发现host_ssh_cred
5.3查看host_ssh_cred表里的内容,发现经过加密的密码
5.4 使用md5在线解密
5.5ssh登录靶机
6.提权
docker run -v /:/root -i -t ubuntu /bin/bash 成功获得root权限
总结:
1、信息收集
2.github源码泄露
3、python编写脚本生成随机文件名,dirb爆破目录
4、目标疑似有自动清理程序,菜刀失败,使用反弹shell
5、使用tail -c1K 查看/etc/shadow文件,使用john爆破root的密码
6、内网渗透,使用msf反弹shell,添加路由,端口扫描、主机发现
7、docker 提权