目录
1. 侦查
1.1 收集目标网络信息:IP地址
1.2 主动扫描:扫描IP地址段
1.3 主动扫描:字典扫描
1.4 主动扫描:漏洞扫描
2. 初始访问
2.1 有效账户:默认账户
2.2 利用面向公众的应用
3. 凭据访问
3.1 不安全的凭据:文件中的凭据
3.2 不安全的凭据:聊天消息
4. 权限提升
4.1 滥用特权控制机制:Sudo和Sudo缓存
5. 攻击路径总结
靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/
1. 侦查
1.1 收集目标网络信息:IP地址
安装好靶机后,没有提供IP地址。攻击机和靶机在同一个C段,扫描ARP协议可以获得IP地址
1.2 主动扫描:扫描IP地址段
扫描端口和服务,获得22/ssh和80/http
1.3 主动扫描:字典扫描
扫描网站地址,发现一个登录框index.php,以及其他需要登录才能访问的login.php、logout.php、command.php
扫描敏感文件,看下有没信息泄漏可以拿到登录帐号密码,结果没有
1.4 主动扫描:漏洞扫描
看来只能爆破密码了,但是BurpSuite社区版的爆破太慢了,一分钟才爆破了40个密码,而且越到后面越慢
是时候该hydra出马了,一分钟就能爆破4000个密码,是BurpSuite速度的100倍!!!
但hydra也遇到了新的问题,这个网站登录失败的响应体完全没有特征,难以抓取判断是否登录成功
虽然响应头的Location: index.php和Content-Length: 206算是个特征,但index.php事后证明登录成功也是这样响应,无法用于爆破;而206更是直接就让hydra胡言乱语……
这里有个hydra爆破web的小技巧,一般网站登录成功后,响应体会包含一些登录成功之后才能访问的地址链接,例如前面扫描网站地址时扫出来的login.php、logout.php、command.php
这时可以添加判断,如果响应体存在这些链接,就说明爆破成功。说干就干,冲啊hydra!!!
额,出师不利啊
不行,One More!!!
皇天不负有心人,登录成功后的响应页面中包含logout.php和command.php,可以作为登录成功的判断,最终成功爆破出网站的帐号密码
2. 初始访问
2.1 有效账户:默认账户
成功登录网站,映入眼帘的是没有任何掩饰的命令执行漏洞
2.2 利用面向公众的应用
攻击机监听端口,BurpSuite执行反弹shell,直接获得www-data用户权限
3. 凭据访问
3.1 不安全的凭据:文件中的凭据
进行信息收集,发现/home/jim/backups/old-passwords.bak有252个老密码
同时统中有4个用户可以登录,sync不算
把这些帐号密码做成字典,爆破SSH,成功获得jim用户的帐号密码
3.2 不安全的凭据:聊天消息
用户目录下有mbox文件,mbox是一种以纯文本形式存储邮件内容的格式,这说明了用户有使用邮件客户端
使用/usr/bin/mail命令,可以查看用户的邮件消息,最终获得Charles的帐号密码
4. 权限提升
4.1 滥用特权控制机制:Sudo和Sudo缓存
Charles用户能以root用户的身份执行teehee命令,而teehee命令能往文件里追加内容