一起来打靶-第六周
簡介
難度:低-->中
攻擊方法:
主機發(fā)現(xiàn)
fping -gaq 192.168.215.0/24?
端口掃描
-A相當(dāng)于-sV -O -sP的集合
80:訪問web頁面
22:爆破
web探測
gobuster:一款信息收集工具,包括爆破路徑,使用go語言開發(fā)的
seclists是一個很強大的字典文件
?
gobuster dir -u http://192.168.215.159/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x #指定腳本類型,-x必須指定才能掃到
發(fā)現(xiàn)了兩個文件,一個目錄
接著對該目錄爆破
發(fā)現(xiàn)了evil.php,訪問后沒有報錯,猜測到可能需要傳入?yún)?shù)
?
爆破參數(shù)
工具:burpsuite
字典使用的是seclists中的burp-param-name.txt,這里包含了把大部分常見參數(shù),第二個參數(shù)使用的是一些常見的值,但是結(jié)果都沒有,這時候可能猜測參數(shù)的值是否是一個文件名,文件包含
先包含本地用的文件,可能性比較大
第二個參數(shù)改為../index.html,只有../存在
發(fā)現(xiàn)可以查看系統(tǒng)文件
文件按包含利用思路:
- 包含一個webshell,webshell在自己的服務(wù)器上(現(xiàn)在自己的服務(wù)器上開啟一個web服務(wù))
- 使用封裝器
- php://filter相當(dāng)于一個任意文件讀取的效果
- 讀文件:php://filter/convert.base64-encode/resource=文件名
-
- 寫文件:php://filter/write.base64-decode/resource=文件名&txt=寫入內(nèi)容的base64編碼
- 如果寫入成功的話可以直接查看,否則不成功
ssh公鑰登錄
可以使用openssl passwd -1生成linux的用戶密碼
經(jīng)過文件包含利用無果之后,在/etc/passwd文件下,找到其他的普通用戶(找用戶路徑在/home底下的),嘗試ssh的暴力破解
找到mowree
-
?
嘗試使用ssh登錄
-v參數(shù)查看登錄過程中的詳細(xì)信息
ssh mowree@192.168.215.159 -v
發(fā)現(xiàn)可以使用公鑰登錄
公鑰登錄
原理:
客戶端生成公鑰和私鑰,在 /home/用戶名/.ssh/ .ssh/id_rsa(密鑰) ,將公鑰上傳服務(wù)器
服務(wù)端保存在:/用戶名/.ssh/authorized_keys(保存著公鑰) ,用戶名是什么就只能用這個用戶名登錄
.ssh目錄的權(quán)限必須是700
.ssh/authorized_keys文件權(quán)限必須是600
使用公鑰登錄流程:
ssh mowree@192.168.215.159 -i id_rsa
先找到服務(wù)端的公鑰
存在這個文件,很多大概率上就知道可以使用ssh公鑰登錄
因為該密鑰的用戶為mowree即:本機用戶登錄到自己的服務(wù)器上,所以私鑰和密鑰都在這個服務(wù)器上
也是在當(dāng)前服務(wù)器找到私鑰
使用私鑰嘗試登陸服務(wù)器
賦予id_rsa權(quán)限:chmod 600 id_rsa
提示需要密鑰(tips:id_rsa文件要按照格式寫入)
?
暴力破解
使用rockyou這個文件進行暴力
解壓:gunzip rockyou.txt.gx
?
爆破工具:hashcat john(john對文件格式有要求)
john文件下有很多腳本轉(zhuǎn)換工具,包括.ssh轉(zhuǎn)換的工具
?
使用john暴力破解
?得到結(jié)果為:unicorn
使用公鑰登錄
?
提權(quán)
方法:
?
passwd具有w權(quán)限,可以增加或修改root權(quán)限
#生成密碼 openssh passwd -1?將密碼替換成root的密碼,然后切換成root用戶登錄即可
vi的刪除使用del?
總結(jié)
- 上一篇: How to do Threat Mod
- 下一篇: 运维安全-SSL_Threat_Mode