首页 > 系统相关 >红队笔记10:pWnOS2.0打靶流程-whatweb指纹识别-searchsploit搜索漏洞利用getshell(vulnhub)

红队笔记10:pWnOS2.0打靶流程-whatweb指纹识别-searchsploit搜索漏洞利用getshell(vulnhub)

时间:2024-04-01 19:30:09浏览次数:30  
标签:10.100 登录 指纹识别 数据库 打靶 密码 10.10 红队 root

目录

开头:

1.主机发现和端口扫描

2.80端口- whatweb指纹识别-searchsploit搜索漏洞并利用

whatweb指纹识别:

searchsploit搜索历史漏洞:

什么是perl?

Simple PHP blog登录成功-图片上传getshell

3.提权-敏感文件泄露密码泄露尝试登录

 4.总结:


开头:

学习的视频是哔哩哔哩红队笔记:

「红队笔记」靶机精讲:pWnOS2.0 - 简洁明快的攻击链,php+mysql架构cms渗透的样本。_哔哩哔哩_bilibili

打靶时参考文章和本文借鉴文章:

红队打靶:pWnOS2.0打靶思路详解(vulnhub)-CSDN博客

靶机下载链接见:

http://pwnos.com/files/pWnOS_v2.0.7z

1.主机发现和端口扫描

参考链接nmap主机发现和端口扫描:渗透测试:主机发现和端口扫描的方法总结(nmap+arp-scan+ping命令+nc.traditional+伪设备连接)-CSDN博客

Sudo nmap -sn 10.10.10.128
sudo nmap -min-rate 10000 -p- 10.10.10.100
sudo nmap -sT -sV -O -p22,80 10.10.10.100
sudo nmap -sU -min-rate 10000 -p- 10.10.10.100
sudo nmap --script=vuln -p22,80 10.10.10.100  

nmap搜索的信息:

1.开发端口:22,80,80端口存在更大的攻击面,优先对80端口探针

2.nmap脚本扫描发现80端口泄露了一些目录 ,其中/blog ,/includes我们比较在意

2.80端口- whatweb指纹识别-searchsploit搜索漏洞并利用

80端口打开可以先对其分析,是不是内容管理系统。

这样一个页面,看起不来并不像CMS,在源代码中也没有发现,CMS的名字。

目录扫描:

​
Dirb http://10.10.10.100/

可以看到目录扫描也发现/blog

http://10.10.10.100/
http://10.10.10.100/blog/
有这两个主要的资产

 

在这个页面可以看到存在登录注册的功能,尝试注册一个账号登录

 看见登录窗口,就尝试是否存在sql注入,‘

报错说明存在sql注入,尝试sql注入万能密码

 or 1=1 #

第一张可以看到使用万能密码登录的用户,可能是管理员用户,第二张是我自己注册的账号登录的,两个账号登录都卡住在logging in 中,都无法登录进去。(其实到这里我们应该觉得这一块走不通的,登录不进去的,这块可能是作者设置的兔子洞,应该换资产进行测试了

因为登录窗口存在sql注入,sqlmap直接梭哈

发现了账号密码,并对密码进行破解,获得了[email protected] :killerbeesareflying 

WAF:检测到 SQL 注入攻击。详细信息已记录。拒绝会话。再见!

开来sql注入获取的用户不能登录啊,不让我们用这种方式通关

http://10.10.10.100/blog/

 

在blog目录下存在这样一个页面,第一步也是分析是否是内容管理系统,这样的页面看起来很像是CMS,查看源码:

因为源代码没有自动换行,观察起来很麻烦,可以点左上角的换行,方便观察

找到一个类似cms名字的东西,有版本号,上网搜搜

分析web是什么cms,还可以利用工具whatweb。

whatweb指纹识别:

指纹识别工具WhatWeb使用教程,图文教程(超详细)-CSDN博客

whatweb http://10.10.10.100/blog/

 知道网站是一个内容管理系统后,就可以使用searchsploit搜索该内容管理系统出现过的历史漏洞

searchsploit搜索历史漏洞:

Searchsploit  Simple PHP Blog 0.4.0

 筛选可利用漏洞,最后一个代码执行漏洞,但是是msf exp,所以我们不使用,尝试利用倒数第二个,

将利用文件镜像下载下来,查看使用方法:

给出了一些利用参数:

该利用文件后缀为pl,是perl语言写的脚本文件,既然是脚本文件,运行其文件就需要解析器,perl就是pl文件的解析器

什么是perl?

Perl被称为"骆驼"语言。发明perl的Larry Wall就说过:“Perl可能不好看或者不好闻,但是它能完成任务”。
Perl是文本处理语言,它最初就是为了这个目的设计的。
Perl是网络编程语言,它内置了socket/client-server协议。
Perl是系统管理语言,全球网络很多服务器上就运行着它的脚本。很多时候是单行的脚本。
Perl是Web脚本编写语言。至今它仍然是最流行的几种web脚本编写语言之一。

 依次尝试参数

perl 1191.pl -h http://10.10.10.100/blog -e 1

 貌似把用户名和密码改成a :a了尝试登录

Simple PHP blog登录成功-图片上传getshell

登录成功新增加了很多功能,其中我们最感兴趣的就是上传图片

上传payload,上传成功

 发现了一个路径,目录扫描也有images目录,打开看看

发现payload,该目录下还有其他php文件,使用该目录能够php解析 

获得初步立柱点

3.提权-敏感文件泄露密码泄露尝试登录

 确定获得目录主机ip地址,获得 www-data 用户的shell,是一个功能型用户,权限较低,linux kernel 版本 2.6.38 

Sudo -l 

需要密码才能查看用户权限。

cat /etc/passwd

 

cat /etc/shadow

没权限查看;定时任务中也没有可以利用的点,内核提权?不先去看看有没有存放敏感文件,因为是一套内容管理系统,一定存在链接数据库的配置文件。

发现数据库配置文件,找到root 的密码goodday,尝试mysql登录结果,密码不正确,这就需要一个思路,这是一个还能正常运行的web,数据库配置文件的数据库密码都是错误了,这怎么可能,只有一个原因,有了新的数据库配置文件,新的数据库密码,原来的文件没有使用了。

find / -name ‘mysqli_connect.php’

发现第二个root密码

root@ISIntS

获得了数据库root权限的密码,可以先去尝试,该密码是否是该靶机root用户的密码,因为很多管理者,都为了方便,将不同设备的密码设置为一样的(运维人员和后台管理员完全有可能为了图方便而将数据库与ssh的密码设置为相同,警醒我们要有安全意识,不要多个账号都设置相同的密码

ssh登录成功,root权限(如果不成功还有goodday或者登录数据库获取信息等利用点

 4.总结:

本篇靶场在权限提升的地方存在了巧合,数据库root密码和操作系统root用户密码相同,在真实环境中这样的可能性可能不高,但是也不是完全没有可能,我们做渗透测试就是要把所有的可能性都去尝试。靶场思路总结:

1.主机发现和端口扫描:开放了22和80端口,我们从80为web攻击面广。

2.80端口CMS漏洞利用:发现/blog目录下的web是CMS,搜索历史漏洞并利用,进入后台图片上传getshell

3.数据库敏感信息提权:可知web端部署了CMS,存在对数据库的操作,寻找数据库配置文件获得root密码,尝试ssh登录。

4.提权:数据库密码登录 root ssh成功

工具上的学习:

whatweb:指纹识别工具
perl语言;

思路上的学习:

运维人员和后台管理员完全有可能为了图方便而将数据库与ssh的密码设置为相同,获得比较重要的密码,都可以互相尝试

 

标签:10.100,登录,指纹识别,数据库,打靶,密码,10.10,红队,root
From: https://blog.csdn.net/qq_63442530/article/details/137232929

相关文章

  • 想成为红队大佬却不知道学习路线???(附红队之路-配套源码工具)
    红队到底是做什么的?在红队中,您需要仿真、模拟或以其他方式扮演某个、某组入侵者或理论上的假想敌。这些活动通常以单独的演习或练习的形式出现,其目的是训练蓝队,蓝队由负责各种防御工事的小组或个人组成。并且,这种对抗可以在任何层面上开展,从应用程序的安全性到主动防御设施,等......
  • web渗透测试漏洞流程:红队资产信息收集之子域名信息收集
    红队资产信息收集1.企业域名信息收集1.1主域名信息收集1.1.1主域名的whois信息1.2.4Whois信息在线收集地址1.2子域名信息收集1.2.1为什么要进行子域名枚举1.2.2子域名枚举搜索方法1.2.2.1搜索引擎查询子域名1.2.2.2资产引擎搜索子域名1.2.2.......
  • 毕业设计:基于深度学习的指纹识别系统
    目录前言课题背景和意义实现技术思路一、算法理论基础1.1 深度学习1.2迁移学习1.3指纹识别二、 数据集2.1数据集2.2数据扩充三、实验及结果分析3.1 实验环境搭建3.2 模型训练最后前言  ......
  • 什么是浏览器指纹识别?Maskfog指纹浏览器如何解决?
    浏览器指纹识别是好是坏?这现在确实是一个有争议的话题。83%的消费者经常或偶尔会根据浏览历史记录看到广告。其实这就是利用了浏览器指纹技术。如果您想了解浏览器指纹识别是什么,那就看下去!一、什么是浏览器指纹识别浏览器指纹是指无需cookie等技术,通过浏览器的各种信息,如......
  • HTB打靶——Bizness
    #简述关于HacktheBox的Bizness机器渗透过程。靶机:10.10.11.252攻击机(Kali):10.10.14.39#过程1、连接OpenVPN后,使用nmap对靶机进行端口扫描:nmap-A10.10.11.2522、扫描得到的结果发现该靶机开启了**22、80、443**端口,其中根据信息显示,该靶机运行这一个nginx的web服务器,同时......
  • 【小猪学渗透】打靶第2天:DVWA入门:暴力破解、命令注入、文件上传
    暴力破解low题目界面如上先抓个包试试,发送到intruder可以看到用GET数据包传输,username和password都是直接写在了url上在password后面的数字上加上$123$这样好进行替换。报错,没有加载字典,在知乎上找到了一篇文章讲字典的找到了一个老的字典库开始攻击,发现......
  • 【小猪学渗透】打靶第1天:DVWA入门:SQL注入、SQL盲注
    前言小猪同学正式开始了渗透测试的学习,今天是入门打靶DWVA--真是开心的一天呢--参考文章这是一篇来自于csdn的攻略文开始-环境搭建小猪同学已经事先搭建好了靶场。sql手工注入low输入1and1=1判断注入点输入1’and1=1报错发现注入点,受到单引号闭合的影响......
  • 红队攻防之exe文件签名免杀
    达则兼善天下,穷则独善其身1、生成cobaltstrikebin文件,选择raw选项。2、使用cobaltstrike分离免杀工具生成loader.exe文件。3、使用UPX对生成的exe文件进行加壳,加壳前后对比文件的大小。4、对loader.exe进行制作并签发证书-数字签名。(1)、检查程序中是否存证书。......
  • Sliver C2通关渗透攻击红队内网域靶场2.0
    准备2012server第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain​手动运行下startWebLogic.cmd​,但是我访问7001遇到了报错:​​是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://12......
  • Sliver C2通关渗透攻击红队内网域靶场2.0
    准备2012server第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain​手动运行下startWebLogic.cmd​,但是我访问7001遇到了报错:​​是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://12......