信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用 nmap 来演示信息收集:
1、nmap 挖掘信息
扫描挖掘本地的 IP 地址信息:
发现开放了 25、80 端口,25 端口是 SMTP 端口服务,80 端口扫描出了是乌班图的系统,该 apache 的版本为 2.4.7,接下来访问下 http 的 80 端口。
2、挖掘 HTTP 服务
访问:http://192.168.4.202,显示的文本提示了一条线索,它说进入到/sev-home/目录中。
这时候来到 http 主页查看源码:
3、挖掘 JS 信息
在http://192.168.4.202/页面查看源代码:
通过对话可知信息中存在两个人名,以及告知了密码信息。获得用户名:Boris、Natalya 获得密码,可以看出是 HTML 加密:
4、HTML 解密
解密的方法千万种,该项目是第一个后面会有很多个项目给大家演示,先带大家熟悉神器 Burpsuiter 解密 HTML:kali 自带 Burpsuiter 工具
在 Burpsuiter 打开后在 Decoder 处进行 HTML 破解获取:InvincibleHack3r 最终账号密码:
5、信息页面枚举
通过前面的两个用户名一次尝试破解的 HTML 密码信息,获得了正确的用户名密码登录http://192.168.4.202/sev-home/,登录后进行信息枚举:
如图所示:
意思该环境开启了 pop3 服务配置为在非常高的非默认端口上运行中,那还需要进行全端口的信息枚举。
6、nmap 全端口信息枚举
从上面的消息中,我们可以了解到某个非默认端口上正在运行一个活动的 POP3 服务,进行 nmap 全端口扫描:
可看到发现了 55006 和 55007 开放中,但是无法知晓是什么 service 服务,进行版本信息枚举。
7、nmap 版本信息枚举
发现 55006,55007 两个开放的端口,扫描端口开启的服务详细信息:
这段信息看出这两个端口开放了 pop3 的 mail 服务,那么到此我们信息收集意见归整,发现了对方的两个用户 Boris、Natalya,以及开放了邮箱服务,那么肯定是有互相交往的邮件信息,接下来的目的就很明显,知晓邮箱的账号密码登录后枚举信息。
1、hydra 暴力破解
接下来尝试使用暴力破解,在上一步中找到的用户名“boris”,通过 Hydra 暴力破解 pop3 服务:
通过用户名密码写入文本:
然后进行 hydra 爆破:
等待 2~5 分钟后,成功爆破出 natalya、boris 用户密码信息。
获得两组账号密码:
2、信息收集
通过 NC 登录 pop3 查看邮件信封内容枚举,boris 信息中有三封邮件信息,但是仅仅只是一些对话信息,在第二封邮件中提示了 natalya 给 boris 发送的邮件说了一句话:我已经获得了你的密码信息!那么接下来枚举 natalya 邮件。
natalya 用户登录邮件查看信息:
可看到在枚举 natalya 邮件信息中,第二封邮件直接提示了用户名密码,并且内部存在域名,还提示需要在 etc/hosts 中指向域名才可以正常访问。
3、设置本地 HOSTS 文件
HOSTS 无论在 windows 还是 linux 环境下都是存在的,作用是将 IP 地址指向域名后,在本地访问域名会调转回 IP 地址信息可正常访问页面。
在最后加入该条信息就行了。
4、后台信息收集
访问 severnaya-station.com/gnocertdir 地址:刚登陆界面我就看到了 moodle,这是一个开源的 CMS 系统:
继续点一点,发现要登陆,使用邮件获得的用户密码进行登陆。点击:Intro to GoldenEye 可以进行登录,使用 natalya 邮箱第二封邮件获得的用户名密码登录:
在信息枚举:Home / ▶ My profile / ▶ Messages —>发现有一封邮件,内容发现用户名 doak:
发现了第三个用户名信息。
5、暴力破解 doak 用户
和之前暴力破解一样的性质,继续暴力破解 doak 用户。
成功获得了用户名密码,接下来登录邮件查看下信息。
6、邮件信息枚举
通过上面获得的 doak 密码继续登录邮件。
邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
7、使用新的账户密码登录 CMS
登录 doak 获得的用户名密码信息后在:Home / ▶ My home 右边发现: s3cret.txt 文本信息,下载查看:
另外发现这是 Moodle 使用的 2.2.3 版本
txt 文件指出管理员凭据已隐藏在映像文件中,让我们在浏览器中打开图像以查看其内容。
8、图片隐写信息枚举
访问页面:severnaya-station.com/dir007key/for-007.jpg
下载到本地:
根据邮件提示让我们检查图片内容,下载图片后,我们可以使用:
三款最常用的工具查看 jpg 文件底层内容,利用 exiftool(图虫)工具:发现 kali 未安装,先安装:
exiftool 获取 jpg 文件底层内容:
可看到正常的信息显示中存在一个 base64 的编码信息。
或者用 strings 获取 jpg 文件底层内容:
用以上命令都可以查看到 base64 编码隐藏信息:
9、base64 解码
使用 Burpsuite 破解获得密码:xWinter1995x!
在 js 文件线索中说,这是管理员用户的密码。管理员用户身份继续登陆应用程序。
10、admin 后台信息枚举
通过获得的 admin 用户名密码登录:
这是 Moodle 使用的 2.2.3 版本,搜索了网上的可用漏洞。
发现可以利用 CVE-2013-3630 漏洞进行攻击。
1、MSF 拿 shell
1)登录 MSF 框架
此版本有许多漏洞利用,由于我们需要在目标计算机上进行交互访问,因此我选择使用远程代码执行(RCE)漏洞利用。利用 msf 框架:
通过搜索 moodle 发现存在很多漏洞可利用,选择 CVE-2013-3630 的 exp 就行。
2)利用漏洞拿 shell
show option 可以查看该 exp 脚本所需要的条件信息:
可看到填入了 URL、目录、账号密码等信息后获得 shell,发现是普通用户权限,那么接下来的思路就是提权了。
3)powershell 设置
如果无法执行 MSF 获得反弹 shell,该脚本使用的是 powershell 命令,由于我们已经使用了管理员 admin 用户登录页面,需要在设置中修改:
这只好 save 保存就行。
2、代码执行反弹 shell
通过 MSF 是可以拿到 shell 的,但是在后台中还存在很多漏洞,接下来在演示一个利用远程代码执行命令反弹 shell:
来到该页面将一句话放入:
保存后当对方服务器环境在某个点触发条件就会执行该命令,这时候在本地利用 NC 开启监听进行获得交互 shell:
这时候来到主页去触发下命令执行吧:
点击打钩处会进行回转,这时候就已经远程代码执行触发了,回到 nc 监听处看看:
这时候就获得了反弹 shell,www-data 权限的 shell 了。
前面获取的是低权限 www-data 用户,需要提权为 root 才可以达到我们的最终目的。
1、内核提权
执行 tty,因为获得的权限无正常交互:
谷歌搜索:Linux ubuntu 3.13.0-32 exploit
获得 exp 版本:37292.c 可进行利用进行内核提权。
2、kali 内核脚本
搜索 exp 版本信息:
kali 是自带很多 EXP 攻击脚本的,直接搜索复制到本地。
3、CC 编译 EXP
由于第一次操作上传后,项目环境无 gcc,存在 CC 环境需要改下脚本为 cc:
然后在本地目录下开启 http 服务:
这时候该 37292.c 攻击提权脚本就在本目录的 HTTP 底下,在项目环境执行 wget 下载文件并 CC 编译就行。
4、内核提权 Root
先通过 wget 下载文件到本地
通过上传脚本上去后,在 exp 界面就可看到用法执行 cc 编译:
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。