背景描述:隨著網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,安全攻擊層出不窮,同時,隨著業(yè)務(wù)數(shù)據(jù)的價值越來越高���,數(shù)據(jù)泄露����、頁面篡改����、黑鏈等安全事件使得企業(yè)系統(tǒng)所面臨的安全威脅隨之增大,造成的損失愈發(fā)嚴(yán)重�����。安全廠商的安全防護產(chǎn)品也是各顯神通,攻防升級不斷加劇��,對抗手段���、成本都在提升����。而作為企業(yè)�����,該如何防護自身的安全風(fēng)險,除了上各種安全設(shè)備,出臺一系列管理制度���,加強員工的安全意識�����,也需培養(yǎng)相應(yīng)的安全人才,并對攻擊者的攻擊手段有所了解��,才能防患于未然�。所謂知己知彼���,百戰(zhàn)不殆��。
本文從攻擊者角度,講述如何拿下一臺目標(biāo)主機管理員權(quán)限���。所使用工具��、技術(shù)皆為攻防研究所用��,切勿用于黑灰產(chǎn)行業(yè)�,滲透千萬條,安全第一條�����,操作不規(guī)范���,親人兩行淚���!
靶機難度:初級
靶機地址
靶機ip:192.168.1.108
靶機描述:目標(biāo)為拿下主機的root權(quán)限�����,共有2個flag
用到的知識點、工具和漏洞:
Nmap端口掃描
XFF頭篡改
Burpsuit
Dirbuster目錄掃描
越權(quán)
Hydra ssh爆破
Php提權(quán)
主機探測:netdiscover-i eth0 -r 192.168.1.0/24
端口探測及服務(wù)識別:nmap-sS -sV -T5 -A 192.168.1.108
當(dāng)前靶機開放了22和80端口�,首先以80的web服務(wù)為突破口�����。
Ofcourse 先掃波目錄,這里使用的kali自帶的dirbuster
/misc和/config目錄下沒發(fā)現(xiàn)啥有用的信息�,先看下首頁有啥
提示本站點只能本地訪問,估計是通過XFF頭進行繞過�,這里推薦一個火狐插件HeaderEditor,安裝后添加XFF字段
之后再訪問就正常了
首頁關(guān)注到了url中page參數(shù),是否存在文件包含或文件讀取�,進行了多次嘗試無果����。于是注冊了1個用戶登錄進去看看有什么發(fā)現(xiàn)
Profile點進去似乎是一個修改密碼的界面
在這里發(fā)現(xiàn)了一個關(guān)鍵參數(shù)user_id=14(url中的參數(shù)),試著去更改該數(shù)值�����,真是喜從中來呀
用戶信息就變了��,確定這里存在越權(quán)���,通過該越權(quán)漏洞可以枚舉出所有的用戶信息����,我這里剛注冊的用戶id數(shù)為14��,那么我枚舉出id1-13的所有用戶,這里用burpsuit抓包傳到intruder進行枚舉
將用戶名及密碼信息分別整理存放����,下一步可將該信息用于SSH爆破,看是否能爆出用戶名密碼
接下來使用hydra進行爆破
hydra-L user.txt -P pass.txt 192.168.1.108 ssh
得到一對用戶名密碼��,接下來使用ssh登錄上去
接下來看看home目錄下有啥東西�����,
發(fā)現(xiàn)一個.my_secret目錄��,進去找到了第一個flag
目前只是拿到了低權(quán)限賬號���,下面要進行提權(quán)�,提權(quán)可通過幾種途徑
Sudo -l 查詢具有sudo權(quán)限命令���,然后提權(quán)
SUID提權(quán),find / -perm -u=s -type f 2>/dev/null
通過在/etc/passwd添加一個root權(quán)限的賬戶進行提權(quán),
find / -writable -type f 2>/dev/null 查找可利用的可寫文件
內(nèi)核提權(quán)
其他
這里使用sudo-l 查詢有哪些sudo權(quán)限命令
這里需通過php提權(quán)
可通過上述命令進行提權(quán)
拿到root權(quán)限后�����,讀取最后一個flag
