背景描述:随着网络安全形势日益严峻,安全攻击层出不穷,同时,随着业务数据的价值越来越高,数据泄露、页面篡改、黑链等安全事件使得企业系统所面临的安全威胁随之增大,造成的损失愈发严重。安全厂商的安全防护产品也是各显神通,攻防升级不断加剧,对抗手段、成本都在提升。而作为企业,该如何防护自身的安全风险,除了上各种安全设备,出台一系列管理制度,加强员工的安全意识,也需培养相应的安全人才,并对攻击者的攻击手段有所了解,才能防患于未然。所谓知己知彼,百战不殆。
本文从攻击者角度,讲述如何拿下一台目标主机管理员权限。所使用工具、技术皆为攻防研究所用,切勿用于黑灰产行业,渗透千万条,安全第一条,操作不规范,亲人两行泪!
靶机难度:初级
靶机地址
靶机ip:192.168.1.108
靶机描述:目标为拿下主机的root权限,共有2个flag
用到的知识点、工具和漏洞:
Nmap端口扫描
XFF头篡改
Burpsuit
Dirbuster目录扫描
越权
Hydra ssh爆破
Php提权
主机探测:netdiscover-i eth0 -r 192.168.1.0/24
端口探测及服务识别:nmap-sS -sV -T5 -A 192.168.1.108
当前靶机开放了22和80端口,首先以80的web服务为突破口。
Ofcourse 先扫波目录,这里使用的kali自带的dirbuster
/misc和/config目录下没发现啥有用的信息,先看下首页有啥
提示本站点只能本地访问,估计是通过XFF头进行绕过,这里推荐一个火狐插件HeaderEditor,安装后添加XFF字段
之后再访问就正常了
首页关注到了url中page参数,是否存在文件包含或文件读取,进行了多次尝试无果。于是注册了1个用户登录进去看看有什么发现
Profile点进去似乎是一个修改密码的界面
在这里发现了一个关键参数user_id=14(url中的参数),试着去更改该数值,真是喜从中来呀
用户信息就变了,确定这里存在越权,通过该越权漏洞可以枚举出所有的用户信息,我这里刚注册的用户id数为14,那么我枚举出id1-13的所有用户,这里用burpsuit抓包传到intruder进行枚举
将用户名及密码信息分别整理存放,下一步可将该信息用于SSH爆破,看是否能爆出用户名密码
接下来使用hydra进行爆破
hydra-L user.txt -P pass.txt 192.168.1.108 ssh
得到一对用户名密码,接下来使用ssh登录上去
接下来看看home目录下有啥东西,
发现一个.my_secret目录,进去找到了第一个flag
目前只是拿到了低权限账号,下面要进行提权,提权可通过几种途径
Sudo -l 查询具有sudo权限命令,然后提权
SUID提权,find / -perm -u=s -type f 2>/dev/null
通过在/etc/passwd添加一个root权限的账户进行提权,
find / -writable -type f 2>/dev/null 查找可利用的可写文件
内核提权
其他
这里使用sudo-l 查询有哪些sudo权限命令
这里需通过php提权
可通过上述命令进行提权
拿到root权限后,读取最后一个flag
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/130079.html
摘要:本文将分享软件基本用法及文件进程注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。可以帮助使用者对系统中的任何文件注册表操作进行监视和记录,通过注册表和文件读写的变化,有效帮助诊断系统故障或发现恶意软件病毒及木马。 ...
阅读 1346·2023-01-11 13:20
阅读 1684·2023-01-11 13:20
阅读 1132·2023-01-11 13:20
阅读 1858·2023-01-11 13:20
阅读 4100·2023-01-11 13:20
阅读 2704·2023-01-11 13:20
阅读 1385·2023-01-11 13:20
阅读 3597·2023-01-11 13:20