一起来打靶-第六周
簡介
難度:低-->中
攻擊方法:
主機發現
fping -gaq 192.168.215.0/24?
端口掃描
-A相當于-sV -O -sP的集合
80:訪問web頁面
22:爆破
web探測
gobuster:一款信息收集工具,包括爆破路徑,使用go語言開發的
seclists是一個很強大的字典文件
?
gobuster dir -u http://192.168.215.159/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x #指定腳本類型,-x必須指定才能掃到
發現了兩個文件,一個目錄
接著對該目錄爆破
發現了evil.php,訪問后沒有報錯,猜測到可能需要傳入參數
?
爆破參數
工具:burpsuite
字典使用的是seclists中的burp-param-name.txt,這里包含了把大部分常見參數,第二個參數使用的是一些常見的值,但是結果都沒有,這時候可能猜測參數的值是否是一個文件名,文件包含
先包含本地用的文件,可能性比較大
第二個參數改為../index.html,只有../存在
發現可以查看系統文件
文件按包含利用思路:
- 包含一個webshell,webshell在自己的服務器上(現在自己的服務器上開啟一個web服務)
- 使用封裝器
- php://filter相當于一個任意文件讀取的效果
- 讀文件:php://filter/convert.base64-encode/resource=文件名
-
- 寫文件:php://filter/write.base64-decode/resource=文件名&txt=寫入內容的base64編碼
- 如果寫入成功的話可以直接查看,否則不成功
ssh公鑰登錄
可以使用openssl passwd -1生成linux的用戶密碼
經過文件包含利用無果之后,在/etc/passwd文件下,找到其他的普通用戶(找用戶路徑在/home底下的),嘗試ssh的暴力破解
找到mowree
-
?
嘗試使用ssh登錄
-v參數查看登錄過程中的詳細信息
ssh mowree@192.168.215.159 -v
發現可以使用公鑰登錄
公鑰登錄
原理:
客戶端生成公鑰和私鑰,在 /home/用戶名/.ssh/ .ssh/id_rsa(密鑰) ,將公鑰上傳服務器
服務端保存在:/用戶名/.ssh/authorized_keys(保存著公鑰) ,用戶名是什么就只能用這個用戶名登錄
.ssh目錄的權限必須是700
.ssh/authorized_keys文件權限必須是600
使用公鑰登錄流程:
ssh mowree@192.168.215.159 -i id_rsa
先找到服務端的公鑰
存在這個文件,很多大概率上就知道可以使用ssh公鑰登錄
因為該密鑰的用戶為mowree即:本機用戶登錄到自己的服務器上,所以私鑰和密鑰都在這個服務器上
也是在當前服務器找到私鑰
使用私鑰嘗試登陸服務器
賦予id_rsa權限:chmod 600 id_rsa
提示需要密鑰(tips:id_rsa文件要按照格式寫入)
?
暴力破解
使用rockyou這個文件進行暴力
解壓:gunzip rockyou.txt.gx
?
爆破工具:hashcat john(john對文件格式有要求)
john文件下有很多腳本轉換工具,包括.ssh轉換的工具
?
使用john暴力破解
?得到結果為:unicorn
使用公鑰登錄
?
提權
方法:
?
passwd具有w權限,可以增加或修改root權限
#生成密碼 openssh passwd -1?將密碼替換成root的密碼,然后切換成root用戶登錄即可
vi的刪除使用del?
總結
- 上一篇: How to do Threat Mod
- 下一篇: 运维安全-SSL_Threat_Mode