kali滲透綜合靶機(十一)--BSides-Vancouver靶機

kali滲透綜合靶機(十一)--BSides-Vancouver靶機

靶機下載地址：https://pan.baidu.com/s/1s2ajnWHNVS_NZfnAjGpEvw

1、主機發現

1.netdiscover -i eth0 -r 192.168.10.0/24

　　

2、端口掃描

1. masscan --rate=10000 -p0-65535 192.168.10.170

　　

3、端口服務識別

1. nmap -sV -T4 -O -p  2122,80 192.168.10.175

　　

4、漏洞查找與利用

80端口

1.瀏覽器訪問http://192.168.10.175,沒發現有用信息,嘗試目錄掃描

　　

2.發現http://192.168.10.175/robots.txt 

　　

3.瀏覽器訪問http://192.168.10.175/backup_wordpress/

　　

4.使用wpscan掃描http://192.168.10.175/backup_wordpress,枚舉wordpress用戶

　　

5.使用burp破解wordpress用戶的密碼,使用burp自帶的字典,成功破解出密碼enigma

　　

Getshell方式一:

6.在404頁面上傳一句話

　　

7. 在http://192.168.10.175/backup_wordpress任意輸入參數p的值觸發執行404頁面的代碼

　　

8.菜刀鏈接

　　

9.菜刀上傳反彈shell到/tmp目錄,而後執行,在kali監聽,得到shell

　　

10.開始提權

21端口(vsftpd 2.3.5)

1.發現容許匿名訪問

　　

2.訪問ftp服務,發現備份的用戶名文件

　　

　　

3.經過遠程ssh登陸測試,發現只有anne用戶容許ssh遠程登陸

　　

Getshell方式二:

4.使用hydra暴力破解

　　

5.遠程登陸

　　

提權一:

6.查看是否屬於sudo組,屬於sudo組,直接得到管理員權限

　　

提權二:

計劃任務結合Cleanup文件提權

1.查看計劃任務

　　

2.查看cleanup的權限,能夠看到其餘用戶也擁有也寫入權限

　　

3.生成反彈shell

　　

4.上傳shell，並覆蓋原先的cleanup文件

5.觸發反彈(cat cleanup),shell,kali監聽,成功得到root

　　

　　

6.或者本身在/tmp目錄寫入一個php的反彈shell，而後經過cp覆蓋/usr/local/bin/cleanup文件，繞過bin目錄寫入限制

　　

7.觸發,kali監聽得到管理員權限

　　

Getshell方式三:

　　

　　

 

 

總結:

1.信息收集、端口掃描、服務識別

二、目錄掃描，敏感信息泄露

三、wpscan掃描漏洞、枚舉wordpress用戶

四、暴力破解wordpress密碼

五、404頁面上傳一句話，觸發404頁面,菜刀鏈接，菜刀上傳反彈shell,觸發、kali端監聽得到shell

六、ftp匿名訪問,發現敏感信息帳戶

七、hydra暴力破解ssh用戶密碼

八、sudo提權

九、利用計劃任務結合文件權限配置不當提權