##Nmap信息收集

# -sP收集同網(wǎng)段存活主機：

#全端口掃描

---思路：收集21端口的敏感信息，爆破Web的目錄，進(jìn)而爆破SSH

#查看指定端口的版本

---這里FTP的沒有掃到匿名用戶登陸，網(wǎng)站掃描到目錄：/php/? /temporary/

---更新思路：從Web入手，獲取用戶名和密碼爆破Ftp,進(jìn)而爆破SSH

##Web的漏洞發(fā)現(xiàn)

---瀏覽器訪問首頁，沒有太多信息

---查看前端源代碼(也可以使用curl URL進(jìn)行Web的訪問)

---發(fā)現(xiàn)敏感目錄文件，提示需要跟新本地的host文件才能訪問一個新的博客網(wǎng)站

---在前端源代碼也發(fā)現(xiàn)了一段加密的flag

<--flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166) -->

---使用hash-identifier識別密碼的類型

---當(dāng)然，也可以使用md5在線解密破解

---是sha256加密的Austrialia（感覺是用戶名）

---訪問robots.txt目錄，發(fā)現(xiàn)就是nmap之前掃描的2個目錄,但是沒有什么有用的信息

--采用dirb爆破目錄，大致存在php和weblog目錄比較有用

---從/weblog/wp-admin/可以看出應(yīng)該是一個CMS框架

---訪問的時候，提示域名錯誤，這里應(yīng)該是需要將靶機和IP在hosts文件中匹配

---這里發(fā)現(xiàn)PHPmyadmin數(shù)據(jù)庫管理插件

---訪問采用 root/空密碼 登陸失敗,思路1：爆破，思路2：phpMyadmin版本漏洞

---獲取phpmyadmin版本信息的方法：在網(wǎng)址根路徑后面添加(訪問了都不行)

readme.php ,README ,changelog.php,Change, Documetation.html ,Documetation.txt ,translators.html

---在/etc/hosts文件添加域名和IP

---訪問/weblog/wp-admin/，采用admin/admin弱口令登陸

---這里也可以使用hydra進(jìn)行爆破（沒有驗證碼）

• hydra：Hydra 工具的命令。

• -l admin：指定要嘗試的用戶名。 在這個例子中，用戶名為 "admin"。

• -P /tmp/pw.txt：指定密碼字典文件的路徑。Hydra 將會使用該密碼字典中的每個密碼來嘗試登錄。

• -vV：啟用詳細(xì)輸出和顯示每個嘗試的結(jié)果。

• 192.168.16.138：目標(biāo)主機的IP地址，這是 WordPress 安裝的主機地址。

• http-post-form：指定使用 POST 方法發(fā)送表單數(shù)據(jù)進(jìn)行登錄嘗試。

• "/weblog/wp-login.php:log=^USER^&pwd=^PASS^:error"：指定 POST 請求的 URL 和表單數(shù)據(jù)的格式。 ?^USER^ 和 ^PASS^ 會被實際的用戶名和密碼代替，error 是指定登錄失敗的錯誤消息，Hydra 通過檢查錯誤消息來判斷登錄是否成功。

---查看發(fā)現(xiàn)CMS的版本：WordPress 6.3

---存在一個專屬WordPress的漏洞掃描工具（ThinkPhP框架也存在）即WPscan

---WPScan是Kali Linux默認(rèn)自帶的一款漏洞掃描工具，它采用Ruby編寫，能夠掃描WordPress網(wǎng)站中的多種安全漏洞
----登陸WPSCAN的官網(wǎng)https://wpscan.com/：注冊一個用戶,獲取一個token

---wpscan的常用參數(shù)

---采用密匙訪問

---這里發(fā)現(xiàn)WordPress的版本（和登陸進(jìn)去的信息不一樣?。?/p>

----這里掃描出來6個漏洞可以利用

---Slideshow Gallery < 1.4.7 - Arbitrary File Upload（文件上傳漏洞）

---采用AWVS掃描（我的AWVS打不開了，應(yīng)該是沒有設(shè)置禁止更新）

---AWVS的下載安裝（推薦）：https://www.iculture.cc/software/pig=29284（記得快照）

---可以看到主要是三個漏洞（AWVS>WbScan）：1.弱口令登陸2.XSS3.文件上傳4.目錄遍歷

---可以發(fā)現(xiàn)文件上傳都是/weblog/wp-content/plugins/目錄下slideshow-gallery插件導(dǎo)致

---思路1：通過：弱口令/XSS登陸，查看后臺模板是否可以修改

---思路2：根據(jù)文件上傳直接WebShell

---思路3：目錄遍歷查看/etc/shadow,然后SSH鏈接登陸

---也可以直接搜索相關(guān)的exp

---本文直接在kail搜索(這里優(yōu)先選擇py文件即最后一個即34681)

---但是34681.py的python2的庫無法更新（靶機是python2），沒浪費時間去糾結(jié)?。?/p>

---所有我們可以看看34514

---也可以在谷歌搜索 ，注意：優(yōu)先選擇exploit-db的

---kail、MSF、exploit-db都是OffSec的作品

---點擊EDB-ID:34514,CVE-2014-5460

---后門位置：http://VICTIM/wordpress/wp-content/uploads/slideshow-gallery/backdoor.php

---也可以使用MSF搜索EXP（最方便）

---這里發(fā)現(xiàn)一個文件上傳漏洞

---查看exp需要的條件，發(fā)現(xiàn)需要設(shè)置登陸密碼

? ---分別設(shè)置約束條件

---獲取shell

---由于這里是偽shell,可以通過nc反彈一個shell

---這里是通過socket將kail的標(biāo)準(zhǔn)輸入、標(biāo)準(zhǔn)輸出、標(biāo)準(zhǔn)錯誤傳輸?shù)桨袡C的/bin/bash? ? ? ??

? ---在kail監(jiān)聽6666端口，采用pty將/bin/sh提升至/bin/bash

---對于stty -echo的提升shell的方法，這里還是不行

---stty -echo" 用于關(guān)閉終端的字符回顯功能。當(dāng)您在終端輸入字符時，默認(rèn)情況下，會將輸入的字符顯示在屏幕上。但是，當(dāng)執(zhí)行 "stty -echo" 命令時，它會關(guān)閉這個功能

? ---進(jìn)入shell查看當(dāng)前網(wǎng)站的根目錄：/var/www/html

---進(jìn)入目錄后發(fā)現(xiàn)，congfig文件，通過gerp “root”查看是否存在關(guān)鍵詞

• -r: 遞歸搜索（Recursive），意味著在指定的目錄及其子目錄中進(jìn)行搜索文件內(nèi)容。 這個參數(shù)用于查找目錄下所有匹配的文件，而不僅僅是指定的wp-config.php文件。

• -n: 顯示匹配行的行號（Line number）。當(dāng)grep找到匹配的內(nèi)容時，它會顯示匹配的行，并在每行前面顯示該行的行號，這樣您就可以知道匹配內(nèi)容所在的具體行數(shù)(26行)

---直接cat查看數(shù)據(jù)庫的用戶名和密碼 ? ? ??

---本地登陸Mysql,查看是否具有文件寫入的權(quán)限

---這里secure_file_priv的權(quán)限：只允許在?/var/lib/mysql-files/寫入文件

---無法進(jìn)行UDF提權(quán)，只能查看數(shù)據(jù)庫里面是否存在有用的信息

---進(jìn)入wordpress數(shù)據(jù)庫下?wp_users表，查看用戶名，密碼以及密鑰

---通過hash-identifier鑒別密碼的加密類型為MD5

---md5在線破解，只能破解admin，但是unclestinky的密碼無法破解

---這里發(fā)現(xiàn)爆破的字典不太行

---切換字典，kail里面自帶了爭對WordPress的字典

---這里需要解壓:gzip -d your_file.gz

---/usr/share/wordlists/rockyou.txt

---gzip的參數(shù)，這里的-d是解壓縮的意思

---采用自定義字典爆破：john 2.txt --wordlist=/usr/share/wordlists/rockyou.txt

---采用unclestinky/wedgie57進(jìn)行Web登錄，獲取flag2

---將Flag2進(jìn)行解密：

---在/usr/share/目錄下存在許多爆破文件

1. /usr/share/wordlists/: 該目錄包含常用的密碼字典文件，如 ?rockyou.txt 和其他常見密碼列表。

2. /usr/share/exploitdb/: 這是 Exploit Database 的本地副本，其中包含已知的漏洞利用代碼。

3. /usr/share/metasploit-framework/: Metasploit 框架的安裝目錄，其中包含用于滲透測試和漏洞利用的工具。

4. /usr/share/nmap/scripts/: Nmap 腳本的目錄，其中包含了用于進(jìn)行端口掃描和漏洞探測的腳本。

5. /usr/share/enum4linux/: Enum4linux 工具的目錄，用于枚舉 Windows 系統(tǒng)的信息。

6. /usr/share/webshells/: 包含常見的 Web shell 腳本，用于測試 Web 應(yīng)用程序的安全性。

7. /usr/share/wfuzz/: Wfuzz 工具的目錄，用于進(jìn)行 Web 應(yīng)用程序的 Fuzz 測試。

8. /usr/share/sqlmap/: SQLMap 工具的目錄，用于檢測和利用 SQL 注入漏洞

---進(jìn)入/home目錄，查看靶機的SSH的賬號

---嘗試使用：mrderp/stinky和密碼wedgie57進(jìn)行SSH登陸

---mrderp提示密碼錯誤，stinky提示權(quán)限拒絕，這里應(yīng)該是不支持SSH的密碼登陸

---直接使用su輸入密碼登陸

---除了ssh，我們還可以使用ftp進(jìn)行登陸嘗試stinky/wedgie57

---進(jìn)入files目錄之后，發(fā)現(xiàn)4個子目錄

• 第一列是文件權(quán)限和類型。 ?d 表示目錄， - 表示文件， rwx 表示讀取、寫入和執(zhí)行權(quán)限。

• 第二列和第三列是文件所有者的用戶名和組名。

• 第四列是文件的大小（以字節(jié)為單位，發(fā)現(xiàn)test.txt和tmp目錄下是沒有文件的）

• 第五列是文件的最后修改日期。

• 第六列是文件或目錄的名稱

---在/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/目錄下存在key.txt文件，通過GET下載

---在network-logs目錄下存在derpissues.txt 文件，也get下來

---查看derpissues.txt的信息

---查看key.txt的信息，發(fā)現(xiàn)是一段加密信息

---結(jié)合key.txt的位置是SSH目錄，以及這里RSA加密，可以看出這里是一個SSH登陸的密鑰

---這里采用stinky登陸試一試，發(fā)現(xiàn)被拒絕了，-i為指定私鑰文件

---切換root和mrderp試一試，發(fā)現(xiàn)也都不行

---這里需要加一些內(nèi)容，需要指定SSH的RSA算法才能登陸

---指定SSH客戶端接受RSA公鑰算法用于身份驗證才能登陸

1. -o：這是SSH客戶端的選項，用于在命令行中指定配置選項。

2. PubkeyAcceptedKeyTypes=+ssh-rsa：這是SSH配置選項的一部分，指定接受的公鑰加密算法。具體解釋如下：

• PubkeyAcceptedKeyTypes：這是SSH客戶端選項中用于指定接受的公鑰加密算法的配置項。

• +ssh-rsa：這是具體的公鑰算法，表示接受使用RSA密鑰對進(jìn)行身份驗證的請求

---這里進(jìn)入stinky的目錄，發(fā)現(xiàn)flag4

---進(jìn)入Documents目錄，發(fā)現(xiàn)derpissues.pcap文件

---這是是Python2，使用SimpleHTTPServer開啟HTTPServer服務(wù)下載到kailderp.pacp

---也可以在kail使用NC進(jìn)行文件傳輸，也可以使用base64進(jìn)行傳輸

---也可以使用SSH進(jìn)行文件傳輸

---kail使用Wireshark進(jìn)行TCP流量分析（tcp.stream eq 48）

----在TCP流的48，可以看到登陸信息，用戶名mrderp,密碼derpderpderpderpderpderpderp

---這里印證了mederp用戶在FTP里面說WordPress的賬號密碼忘記了

---但是一個一個的TCP流查找很麻煩

---查找包含login的字段：frame contains mrderp(這個命令使用不了了)

---可以查看HTTP協(xié)議的POST方法：http.request.method == "POST"

---在/Destktop/helpdesk.log存在一個幫助文件，直接cat

---這里提示sudo提權(quán)的可能

---查看用戶的權(quán)限，stinky的賬戶沒有sudo權(quán)限，而mrderp用戶具有sudo權(quán)限

---總結(jié)：Web敏感目錄識別管理員后臺 》 弱口令登陸 》Web插件文件上傳 》獲取Webshell 》 數(shù)據(jù)庫查看用戶名/密碼 》嘗試登陸SSH/FTP 》 進(jìn)一步獲取用戶名/密碼字典 》用戶登陸 》 sudo提權(quán)

---進(jìn)入sudo權(quán)限的文件目錄，查看文件發(fā)現(xiàn)具有寫入權(quán)限

---這里derpy*匹配任意格式的文件，但是這里最好是sh或者py

---nano打開文件，寫入bash -i打開一個新的shell

---直接sudo執(zhí)行，發(fā)現(xiàn)提權(quán)成功

##其它的提權(quán)思路

#OS內(nèi)核和發(fā)行版本收集

---可以使用谷歌/searchsploit進(jìn)行搜索相關(guān)exp,進(jìn)行Linux的內(nèi)核提權(quán)

---也可以使用linux-exploit-suggester.sh進(jìn)行內(nèi)核提權(quán)的分析

---注意：comment的漏洞提權(quán)可能存在約束條件，可以優(yōu)先選擇exploit-db的exp且不存在comment的內(nèi)核漏洞（這里也給出了內(nèi)核版本和發(fā)行版本）

---也可以使用linpeas.sh進(jìn)行信息收集

---查看下：1.計劃任務(wù)2.密碼文件(/etc/passwd|/etc/sudoers|/etc/shadow)

---以及擁有suid的文件(find -name )

---查看具有SUID權(quán)限的文件：

----這里：1.都是/etc或/bin目錄下? 2.其它用戶不具有寫入權(quán)限

---查看計劃任務(wù)，發(fā)行沒有計劃任務(wù)的文件

##拓展知識

#Nmap進(jìn)行漏洞掃描

---這里指定腳本以及漏洞的數(shù)據(jù)庫

----這里沒有掃出什么比較好的漏洞

#hashcat進(jìn)行密文爆破（除了john的另外一種方法）

1. -m 400：這是 Hashcat 的哈希模式選項。 在這個例子中， -m 400 表示使用SHA-256哈希模式。Hashcat支持許多不同的哈希模式，每種模式對應(yīng)不同類型的哈希算法。

2. -a 0：這是 Hashcat 的攻擊模式選項。 ?-a 0 表示使用基于字典的攻擊模式。在這種攻擊模式下，Hashcat將會嘗試使用字典文件中的每個單詞來猜測密碼。

3. -O：這是 Hashcat 的 -O 表示啟用一些優(yōu)化方法，可以提高密碼破解速度

---但是這里我沒有爆破出來

---很奇怪，沒有爆破出來

##EID-34514的補充

---上傳文件的位置：

---POST（文件上傳）傳參的URL

----管理員登陸然后查看，很好奇這里是對于PHP的后綴沒有檢測嗎

---文件上傳的參數(shù)

1. ------WebKitFormBoundaryEGMugMZ1CVkRzbxV：這是一個分隔符（Boundary），用于標(biāo)識請求體中不同字段的邊界。分隔符是隨機生成的，以確保請求體的唯一性，因為不同的字段和文件可能會有不同的內(nèi)容。

2. Content-Disposition: form-data; name="image_file"; filename="backdoor.php"：這是一個數(shù)據(jù)字段的描述。Content-Disposition 指示該部分?jǐn)?shù)據(jù)的用途和名稱。在這里，name="image_file" 表示字段名為 "image_file"，filename="backdoor.php" 表示這是一個文件上傳字段，文件名為 "backdoor.php"。

3. Content-Type: application/octet-stream：這是文件的 MIME 類型（媒體類型）。application/octet-stream 是一種通用的二進(jìn)制流類型，表示這是一個未知類型的二進(jìn)制文件。

---一句話的馬子，傳參cmd進(jìn)行控制

---這里應(yīng)該存在過濾，eval()和assert()函數(shù)都不能使用

---構(gòu)建exp(這里根據(jù)POST的傳參構(gòu)造的exp)

---mktemp -u：mktemp 是一個命令用于創(chuàng)建臨時文件或目錄。-u 選項表示只生成文件名，而不會在文件系統(tǒng)中創(chuàng)建文件。生成的臨時文件名將包含隨機字符或數(shù)字，以確保其唯一性

---s/^.*tmp\.(.*)$/\1/ 是一個替換規(guī)則。這個規(guī)則表示將輸入文本中以 "tmp." 開頭的部分和以此為標(biāo)識的部分進(jìn)行匹配，并將匹配的部分替換為后面的 \1。\1 表示匹配的第一個括號子表達(dá)式的內(nèi)容，即唯一標(biāo)識部

---該命令的作用是生成一個臨時文件名，然后提取文件名中的唯一標(biāo)識部分

---FILE=$1 用于將腳本的第一個命令行參數(shù)賦值給變量 FILE

---curl的參數(shù)： -s為靜音模式，不輸出任何東西

---：-c將登陸后的cookie寫入cookie文件；-d以post方式傳輸數(shù)據(jù)（上一行是數(shù)據(jù)，下一行是post的URL）

----b是讀取cookie,-H 自定義頭部信息；-o把輸出寫入空（不輸出）

---：-F模擬http表單提交數(shù)據(jù)

---總結(jié)思路

1. 通過 ?curl 命令進(jìn)行登錄認(rèn)證，將用戶名和密碼發(fā)送給 WordPress 登錄頁面，并保存會話 cookie 到 ?cookie 文件中。

2. 使用之前獲得的 cookie，構(gòu)造一個惡意的 POST 請求，將文件以及一些參數(shù)（如幻燈片標(biāo)題、描述等）上傳到幻燈片插件的保存頁面

3. 腳本會在上傳成功后刪除之前保存的 cookie 文件

---瀏覽器訪問：http://derpnstink.local/weblog/wp-content/uploads/slideshow-gallery/cmd.php

---采用一句話，將webshell反彈到Kail的6677端口

---Perl 語言編寫的短小的一行代碼（還是Python好用）

---一句話解析如下

---這里需要將一句話進(jìn)行URL編碼

---直接curl訪問

---這邊直接獲取Webshell

---使用root/mysql訪問phpmyadmin(聽說phpmyadmin存在框架漏洞)

---查看PHPmyadmin的版本（這里看不到）

---然后可能存在弱口令和萬能密碼

---具體資料：https://blog.csdn.net/m0_67402013/article/details/126081385

---在mysql數(shù)據(jù)庫的user表存在unclestinky用戶和密碼：

9B776AFB479B31E8047026F1185E952DD1E530CB

---識別的是sha1加密

---直接解密

---也可以使用國外的網(wǎng)站：https://crackstation.net

---但是我使用john和hashcat都沒有爆破出來（猜測是字典不對）

#知識點總結(jié)：

---1.根據(jù)前端源代碼提示，將靶機IP和指定域名綁定，訪問特定URL

---2.Hydr爆破沒有驗證碼的登陸框（phpMyadmin應(yīng)該也可以爆破）：

-l指定用戶名admin,-vV詳細(xì)輸出；http-post-form以表單的形式POST傳遞參數(shù)；^USER^ 和 ^PASS^ 會被實際的用戶名和密碼代替；error 是指定登錄失敗的錯誤消息，Hydra 通過檢查錯誤消息來判斷登錄是否成功


---3.phpMyadmin的漏洞：目錄版本識別 / 弱口令 / 萬能密碼 / phpMyadmin的框架漏洞

---4.AWVS和Wpsacn的進(jìn)行漏洞掃描，XSS / WordPress Plugin Slideshow Gallery插件漏洞

---5.數(shù)據(jù)庫用戶密碼john進(jìn)行爆破：/usr/share/wordlists/rockyou.txt

---6.使用rsa密鑰進(jìn)行ssh登陸

---7.Wireshark進(jìn)行pacp文件的信息查詢獲取用戶密碼：查詢TCP流(tcp.stream eq 48) / 查詢http協(xié)議的post方法（http.request.method == "POST"） / 查詢關(guān)鍵詞（frame contains mrderp? /login）

---8.密碼爆破的技巧：Web的用戶名 + 數(shù)據(jù)庫的用戶名 + Ftp的用戶信息 + /home目錄下用戶信息 + /Web下的Config文件 可以組成爆破字典 + Mysql下Web的用戶名和密碼 + Mysql的mysql 數(shù)據(jù)庫下user表的用戶名密碼（核心思想：用戶名和密碼是通用的）

---9.sudo -l查看當(dāng)前用戶的sudo權(quán)限的文件

---10.文件上傳的漏洞的利用（冰蝎/蟻劍/菜刀）鏈接，或者通過將payload進(jìn)行URL編碼，然后通過URL傳參反彈shell到kail

---11.通過/bin/bash腳本，結(jié)合curl進(jìn)行數(shù)據(jù)包的POST的傳參，進(jìn)而上傳一句話

---12.perl鏈接php的一句話的代碼（通過socket將標(biāo)準(zhǔn)輸入/輸出/錯誤鏈接到靶機/bin/bash）

---13.通過john / hashcat / MD5在線解密 /crackstation.net 破解密碼