心路历程

• 2021-09-25 19:03
  明天还要补课，太烦了
• 2021-09-25 19:42
  想吃炸鸡了，点份外卖吃完再继续学习
• 2021-09-25 20:16
  继续学习
• 2021-09-25 21:14
  先洗澡了，感觉今天写不完了
• 2021-09-26 13:03
  一上午的课太累了，一会还有课
• 2021-09-26 13:04
  再分析一会题目
• 2021-09-26 13:32
  终于分析结束了

正文

• 目标靶场：
  

• 攻击思路：

  • 先使用nmap扫描一下，确定目标IP

  nmap 192.168.1.0/24
  

  

  • 确定目标IP，目标开放了两个端口：22、80
  • 22端口是ssh连接端口，可以尝试使用hydra进行爆破

  #使用crunch生成4位密码字典
  crunch 4 4 > pass.txt
  
  #使用hydra对ssh进行爆破
  hydra -l root -P pass.txt ssh://192.168.1.237
  

  最终的结果暴力破解失败，没跑出来ssh的连接密码

  • 22端口攻击尝试失败，还有80端口可以尝试，使用浏览器访问80端口
    
  • 虽然能够访问，但是并没有有用的信息，此时可以尝试先对其进行目录爆破，查看有没有敏感目录

  #使用dirb进行目录爆破
  dirb http://192.168.1.237
  

  

  • 尝试访问 /admin.php 界面
    
  • 此处不再进行爆破，刚才的扫描结果存在一个 /.git/HEAD 文件，这个可以通过 git 工具来恢复源码，从而获取到网站的源码

  #给 GitHack.py 赋予执行权限
  chmod 766 GitHack.py
  
  #使用 GitHack.py 进行代码恢复
  python GitHack.py http://192.168.1.237/.git
  

  

  • 获得页面源码后，进行代码的审计，获取有用的信息
    
  • 获取到用户名与密码，尝试登录
    
  • 登录成功，发现上传点，先上传一张正常的图片进行尝试
    
  • 但是并没有什么回显，这可是个大问题，没有任何的回显，即使能够正常的上传wenshell，但是没有完整的路径也无法使用wenshell管理工具成功连接，所以需要寻找其正确的上传路径从而能够使用工具进行连接
  • 继续进行代码审计，寻找上传路径的相关信息
    
  • 发现可疑路径 /upload/ ,尝试访问该路径
    
  • 确定上传路径后，尝试上传webshell获取权限
    
  • 拿到webshell权限后，攻击思路便到此为止

• 提权思路：

  • 先查看当前用户相关信息及其权限

  whoami
  
  id
  
  cat /etc/passwd
  

  

  • 提权的目标便是尝试将其提权为 root 权限
  • 提权手段：
  • 提权方式一：通过内核漏洞进行提权
  • 先收集目标的系统信息

   uname -a
  

  

  • 尝试使用Kali自带的searchsploit搜索相关版本的Linux内核漏洞

   searchsploit Linux kernel 4.15.0
  

  

  • 使用相关的EXP进行提权，最终提权失败
  • 提权方式二：通过定时任务进行提权
  • 查看当前用户的定时任务

   crontab -l
  

  

  • 当前用户无定时任务，尝试寻找高权限用户有无可能作为定时任务的文件并且当前用户对其拥有读写权限

   #定时任务提权要点
   1.文件以高权限运行
   2.文件被加入到定时任务中
   3.攻击者对文件具有读写权限
  

  

  • 这个文件具有 777 权限，任何用户都可更改，打开文件查看内容
    
  • 看其内容应该是一个对于文件进行压缩备份的脚本文件，这个文件是有可能被其拥有者加入到定时任务中的，毕竟定时备份使用计划任务完成即可
  • 尝试查看该文件拥有者等相关信息
    
  • 其文件的拥有者的 root 用户，拥有最高权限
  • 这个文件可能会符合定时任务提权的条件，尝试使用该文件进行提权
    
  • 攻击机使用 nc 进行监听

   nc -lvp 5554
  

  

  • 成功获取到 root 权限