#nmap信息收集

---探測主機(jī)：192.168.95.130

---掃描全端口和操作系統(tǒng)版本：nmap 192.168.95.130 -sS -sV -p- -O

---存在3個(gè)端口Linux系統(tǒng)：思路1：cewl網(wǎng)站獲取爆破字典，使用hydra爆破ssh

---思路2：查看ftp是否存在匿名訪問搜集信息

---使用nmap -A查看詳細(xì)信息，發(fā)現(xiàn)21端口ftp存在匿名登陸，具有讀寫執(zhí)行權(quán)限

-ftp還存在者一個(gè)可寫入的2014 lol.pcap文件

---80端口的Web下存在/secret目錄和robots.txt文件存在一個(gè)不允許的目錄

---直接在谷歌收拾apache2.4.7 和openssh 6.6.1的exp，發(fā)現(xiàn)沒有命令執(zhí)行漏洞

#Ftp匿名登陸信息收集

---登陸靶機(jī)的ftp:賬號和密碼都是Anonymous

---dir是查看ftp下的文件的信息,get是下載文件到當(dāng)前目錄，put是上傳文件（只需要這三個(gè)命令就行）：

---在kail查看文件：Pcap（Packet Capture），是一種行業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲格式

---通常使用 Wireshark、Tcpdump 或 WinDump 等捕獲TCP/IP 數(shù)據(jù)包，而抓包后存盤的文件格式就是 .pcap 文件

---pacp包的組成

---?wireshark lol.pcap(只能在kail里面，因?yàn)橐獜棾鰣D形窗口)

---這里的流量，都是10.0.0.12和10.0.0.6之間的交互

---點(diǎn)擊追蹤TCP流：發(fā)現(xiàn)Wireshark數(shù)據(jù)包里面的信息

---這里發(fā)現(xiàn)了一個(gè)文件secret_stuff.txt，以及“目錄列表”關(guān)鍵詞

---顯示過濾器中輸入表達(dá)式 tcp.stream ?eq ?0 篩選出第一個(gè)TCP流(包含完整的一次TCP連接:三次握手和四次握手)

--- tcp.stream ?eq? 1/3 篩選出后面的TCP流

---在tcp.stream eq 2中給出了提示，但是沒有挖掘到什么實(shí)質(zhì)性的敏感信息

---收集到敏感信息：sup3rs3cr3tdirlol，后面的?:-P應(yīng)該是表情包

#80端口Web信息收集

---瀏覽器訪問沒什么信息，前端源代碼也只有一張圖片（第一思路是去剖析圖片收集信息）

---根據(jù)前端源代碼獲取下載地址：192.168.95.130/hacker.jpg下載進(jìn)行圖片信息分析

---binwalk（路由逆向分析工具）：分離圖片，看圖片里面是否包含了隱藏的另類文件

---exiftool（圖蟲）：分析圖片的信息，如大小、描述、修改時(shí)間等

---查看圖片的存儲形式：strings（識別動(dòng)態(tài)庫版本指令）：將圖片的信息還原成ASCII碼

---上面的圖片分離、圖片描述、圖片存儲的剖析都沒有收集到敏感信息，需要轉(zhuǎn)換思路

---利用ftp收集的敏感信息文件secret_stuff.txt去訪問（失敗）

---用http://192.168.95.130/sup3rs3cr3tdirlol/進(jìn)行訪問，發(fā)現(xiàn)目錄遍歷漏洞

---下載roflmo的文件

---file命令：識別文件類型，也可辨別一些文件的編碼格式。它是通過查看文件的頭部信息來獲取文件類型，而不是像Windows通過擴(kuò)展名來確定文件類型的

---這里是一個(gè)32位的elf文件，類似的就是Windows的32位的exe文件（所謂的32位是指的32位寄存器），而elf文件就是Linux的可執(zhí)行文件

---file命令的相關(guān)參數(shù)

---通過exiftool查看elf文件的描述信息（比file命令更好用）

---binwalk查看是否存在隱藏文件，不存在隱藏文件

---strings查看文件的在計(jì)算機(jī)的存儲格式（這里應(yīng)該是以UTF進(jìn)行編碼，然后以二進(jìn)制存儲在計(jì)算機(jī)），然后將二進(jìn)制數(shù)據(jù)以ASCII碼的形式，進(jìn)行字符串打印

---這里說：找到了程序的地址：Find address 0x0856BF to proceed

---根據(jù)這個(gè)提示訪問Web的目錄

---訪問good_luck目錄下的which_one_lol.txt文件

---根據(jù)/0x0856BF/下的password目錄，可以推測這是一堆賬號的用戶名

---同樣訪問password目錄存在一個(gè)密碼，思路：可以通過賬號和密碼爆破ssh

---但是這個(gè)Good_job_不是密碼（文件路徑以及Pass.txt很可能是密碼）

---將之前的用戶名寫明name.txt

---將可能的密碼組成爆破字典

---九頭蛇的常用參數(shù)

----hydra -L name.txt -P pass.txt 192.168.95.130 ssh

---L是指定用戶名字典，-P是指定密碼字典；

---用戶名：overflow；密碼：Pass.txt

---ssh登陸，登陸密碼

---將ssh的shell轉(zhuǎn)換成/bin/bash，發(fā)現(xiàn)是普通用戶需要進(jìn)行提權(quán)

----Linux版本3.13.0，而且ssh斷開一次（這里因該是有腳本，隔一段時(shí)間執(zhí)行一次斷開操作）

---這里應(yīng)該是執(zhí)行了計(jì)劃任務(wù)，在一個(gè)時(shí)間段內(nèi)斷塊shell鏈接

#提權(quán)思路

---1.谷歌搜索Linux 3.13.0的exp進(jìn)行提權(quán)（也可以searchsploit linux? ubuntu 3.13.0搜索exp）

---2.通過linux-exploit-suggester搜索可能存在的exp進(jìn)行提權(quán)（本次靶場不存在數(shù)據(jù)庫，存在數(shù)據(jù)庫優(yōu)先查看UDF提權(quán)）

---將exp存放到當(dāng)前目錄

---gedit查看exp:gcc ofs.c -o ofs直接編譯就可以執(zhí)行執(zhí)行

---在Kail開啟http服務(wù)

----靶機(jī)下載exp

---直接編譯exp之后執(zhí)行文件，發(fā)現(xiàn)獲取root權(quán)限，但是很快就彈出去了

---直接進(jìn)入/root目錄，就可以查看flag

#計(jì)劃任務(wù)的破解

---cron的日志文件存儲為 /var/log/cronlog ，可以看到最近執(zhí)行的定時(shí)任務(wù)信息

---*/2 表示每隔兩分鐘執(zhí)行一次任務(wù)，* * * * * 表示每分鐘都會觸發(fā)任務(wù)，cleaner.py 是要執(zhí)行的具體任務(wù)或腳本的名稱（計(jì)劃任務(wù)的文件可能具有root權(quán)限）

---cleaner.py是刪除/tmp目錄下的一切文件（由于之前exp放在/tmp目錄，所以進(jìn)入root后由于exp被強(qiáng)制刪除，exp的進(jìn)程也就結(jié)束）

---注意：這個(gè)并不是把我們踢出ssh的腳本,功能只是刪除/tmp 目錄里面的文件

---計(jì)劃任務(wù)：

• at命令 ： 由atd守護(hù)進(jìn)程來執(zhí)行，atd進(jìn)程會定期檢查系統(tǒng)上的 /var/spool/at 目錄，獲取at命令寫入的任務(wù)

---絕對計(jì)時(shí) ： at 時(shí)刻 日期

---相對計(jì)時(shí)： at now+count time-units， 這個(gè)count的單位就是后面的time-units來指定?？梢允莔iuntes，hours，days，weeks

---atq 命令查看有哪些定時(shí)任務(wù)

• crontab 命令：at命令只能執(zhí)行一次,周期性重復(fù)執(zhí)行命令，使用cron命令

---執(zhí)行機(jī)制：會先搜索/var/spool/cron 目錄下，以 /etc/passwd 文件中用戶名命名的crontab文件，注意不是叫crontab文件。同時(shí)也會搜索 /etc/crontab 文件

---使用 crontab -l查看是否已有定時(shí)任務(wù)

---crontab -e，編輯配置文件,這個(gè)就是設(shè)置要執(zhí)行的定時(shí)任務(wù)命令

---crontab 文件中，每行都包括6個(gè)域，其前5個(gè)域是指定命令被執(zhí)行的時(shí)間，最后一個(gè)域是要執(zhí)行的命令

---每個(gè)域之間使用空格進(jìn)行分割，六個(gè)域每個(gè)字段對應(yīng)的單位：

---day-of-month ：表示每月的某日，其它同理

---這里/var/log/cronlog和crontab -l的區(qū)別

---/var/log/cronlog 是一個(gè)文件路徑，代表 cron 的日志文件。當(dāng) cron 作業(yè)執(zhí)行時(shí)，相關(guān)信息和輸出將被記錄在這個(gè)文件中

---crontab -l 是一個(gè)命令行工具，用于列出當(dāng)前用戶的 crontab 文件中定義的 cron 作業(yè)。運(yùn)行 crontab -l 命令將顯示當(dāng)前用戶的 crontab 文件的內(nèi)容

#常見的日志

---記錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件，就是Linux系統(tǒng)開機(jī)自檢過程顯示的信息

---與定時(shí)任務(wù)相關(guān)的日志信息：/var/log/cron 或 /var/log/cron.log 是一個(gè)日志文件，用于記錄計(jì)劃任務(wù)（Cron Jobs）的執(zhí)行情況和相關(guān)信息

---訪問/var/log/cron 或 /var/log/cron.log 文件通常需要 root 或管理員權(quán)限

---/var/log/cron.log 文件記錄的是所有用戶的計(jì)劃任務(wù)執(zhí)行日志，而不僅僅是當(dāng)前用戶的計(jì)劃任務(wù)

---記錄了系統(tǒng)上所有帳號最近一次登入系統(tǒng)時(shí)的相關(guān)信息。lastlog命令就是利用這個(gè)文件所記錄的信息來顯示結(jié)果

---記錄郵件的來往信息，其實(shí)主要記錄SMTP和POP3（IMAP）協(xié)議提供者所產(chǎn)生的信息

---記錄了系統(tǒng)發(fā)生的所有錯(cuò)誤信息（或者是重要的信息），所以這個(gè)文件相當(dāng)重要；如果系統(tǒng)發(fā)生莫名的錯(cuò)誤時(shí)，這個(gè)文件是必查的日志文件之一

---一般用來記錄安全相關(guān)的信息，記錄用戶和工作組變換情況、用戶登陸認(rèn)證情況

---該日志文件永久記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件，使用last命令查看

---直接cat的話是亂碼

---last命令查看更直觀

---記錄Linux登陸失敗的用戶、時(shí)間以及遠(yuǎn)程IP地址

---記錄有關(guān)當(dāng)前登錄的每個(gè)用戶的信息。如 who、w、users、finger等就需要訪問這個(gè)文件

#補(bǔ)充常見中間件的日志位置：

#ls（list）命令的參數(shù)(常用：ls -al 僅列出目前短格式的時(shí)間)

----ls -l的顯示

---我以為計(jì)劃任務(wù)是root權(quán)限，所以因該是rwxs權(quán)限，結(jié)果不是（但是用戶是root）

---這里其它用戶具有讀寫和執(zhí)行權(quán)限

----由于我們登陸是普通用戶，需要查找存在寫入權(quán)限的可執(zhí)行文件

---這里可以優(yōu)化一下，/o=wx表示其他用戶具有寫和執(zhí)行權(quán)限

---枚舉：-perm -o+w：表示搜索具有"其他人"寫權(quán)限的文件

----v：grep 命令的選項(xiàng)，用于反轉(zhuǎn)匹配，即只輸出不包含 /proc 的行

#知道了計(jì)劃任務(wù)和py腳本可寫入，以及py的位置后，接下來演示三種方法：

---原理：Linux的計(jì)劃任務(wù)（Cron Job）允許用戶在預(yù)定的時(shí)間間隔內(nèi)執(zhí)行特定的任務(wù)，如果是root用戶使用sudo crontab -e編輯計(jì)劃任務(wù)腳本，那么腳本具有root權(quán)限

1）反彈shell
2）創(chuàng)建root可執(zhí)行程序，獲得root權(quán)限
3）寫入ssh rsa，ssh登錄root用戶
---1）反彈shell

---先準(zhǔn)備好反彈shell的代碼

---使用nano打開腳本，將exp寫入：nano /lib/log/cleaner.py

---nano的快捷鍵（可以在nano中使用CTRL + G來查看快捷鍵）

---在kail查看發(fā)現(xiàn)接受到shell

---2）創(chuàng)建root可執(zhí)行程序，獲得root權(quán)限：

---nano /lib/log/cleaner.py 修改計(jì)劃任務(wù)的腳本

---發(fā)現(xiàn)/tmp目錄下新建了一個(gè)dayu1的文件，本質(zhì)是/bin/sh

---id命令發(fā)現(xiàn)是root權(quán)限：

---uid=1002(overflow): 表示當(dāng)前用戶的用戶 ID（User ID）值為 1002，用戶名為 "overflow"

---gid=1002(overflow): 表示當(dāng)前用戶所屬組 ID（Group ID）值為 1002，組名為 "overflow"

---euid=0(root): 表示當(dāng)前用戶有效用戶 ID（Effective User ID）值為 0，用戶名為 "root"，這意味著當(dāng)前用戶具有 root 用戶的權(quán)限

---groups=0(root),1002(overflow): 表示當(dāng)前用戶所屬的附加組（Additional Groups）的 ID，該用戶屬于兩個(gè)組：組 ID 0即 "root" 組，以及組 ID 1002，即 "overflow" 組

---或者編輯腳本以將用戶溢出添加到sudoers文件中可以sudo su到root用戶：

---cat /etc/sudoers 查看SUID的寫法：用戶名? ALL=(ALL) ALL

---將overflow用戶賦予sudo權(quán)限:

os.system('echo "overflow ALL=(ALL:ALL) ALL" >> /etc/sudoers')

---但是我這里不知道為什么失敗了(這里不能直接登陸當(dāng)前用戶，也不能直接su root)

---網(wǎng)上查了下，需要使用sudo su命令或者sudo su root都可以不用輸入命令

---3）寫入ssh rsa，ssh登錄root用戶

---ssh-keygen（kail生成）命令生成的SSH密鑰對的文件名為id_rsa（私鑰）和id_rsa.pub（公鑰）。這是OpenSSH工具包中的默認(rèn)命名約定

---私鑰文件（id_rsa）是你的私有密鑰，用于進(jìn)行身份驗(yàn)證和解密加密的通信。請務(wù)必妥善保管私鑰文件，并確保只有你有權(quán)限訪問它。

---公鑰文件（id_rsa.pub）是你要分享給其他人或遠(yuǎn)程服務(wù)器的公鑰。遠(yuǎn)程服務(wù)器將使用該公鑰來驗(yàn)證你的身份。將公鑰文件（id_rsa.pub）復(fù)制到遠(yuǎn)程服務(wù)器的~/.ssh/authorized_keys文件中，以便進(jìn)行身份驗(yàn)證(一直默認(rèn)回車)

---發(fā)現(xiàn)在kail的/root/.sh目錄下生成了公鑰和私鑰

---我們的目的是把公鑰寫入靶機(jī)的：~/.ssh/authorized_keys

---先查看公鑰

---構(gòu)建系統(tǒng)執(zhí)行命令：

---1.在root目錄下創(chuàng)建.ssh目錄并且賦予當(dāng)前用戶和用戶組讀寫可執(zhí)行權(quán)限，賦予其它用戶讀和執(zhí)行權(quán)限（讀權(quán)限r(nóng)：值為4；寫權(quán)限w：值為 2；執(zhí)行權(quán)限x：值為 1）

---2.將ssh的公鑰寫入/root目錄下文件/authorized_keys（這里是root權(quán)限，所在root目錄下的.ssh,普通用戶在根目錄下寫入）

---將代碼寫入計(jì)劃任務(wù)的Python腳本執(zhí)行的命令函數(shù)中

---nano看不清，使用Vim打開

---在Kail上使用ssh進(jìn)行登陸

---我這里失敗了，登陸root發(fā)現(xiàn)/root/.ssh/authorized_keys里面是寫入了公鑰，但是就是鏈接的時(shí)候提示輸入密碼，可能是我沒有快照的原因，

#總結(jié)知識點(diǎn)

---1.Nmap使用-A參數(shù)識別21端口的Ftp匿名訪問漏洞

---2.Tcp流數(shù)據(jù)包的lol.pcap的格式：全局報(bào)頭、數(shù)據(jù)包

---3.使用WireShark對pcap文件進(jìn)行TCP流的追蹤，獲取Web的敏感信息（文件/目錄）

---4.三大圖片分析工具（文件也可以，如elf可執(zhí)行文件）：binwalk對圖片分離；exiftool獲取文件描述信息；strings將文件的存儲數(shù)據(jù)轉(zhuǎn)化為ASCII的格式顯示獲取敏感信息

---5.爆破字典的來源：Web頁面分詞，Web的文件名，Web的URL，Web的文件內(nèi)容

---6.Hydra爆破SSH服務(wù)

---7.uname -a獲取Linux內(nèi)核版本，searchsploit Linux Ubuntu 內(nèi)核版本 獲取exp提權(quán)

---8.計(jì)劃任務(wù)at(一次)和cron（多次）的設(shè)置，root用戶設(shè)置的計(jì)劃任務(wù)（cronlog)位置查找

---9.查找cronlog中的具有root權(quán)限的腳本，nano修改計(jì)劃任務(wù)提權(quán)

---10.計(jì)劃任務(wù)提權(quán)方式：1.通過python反彈/bin/bash的shell提權(quán)2.通過修改/etc/sudoers添加用戶的sudo權(quán)限，以sudo su root提權(quán)3.通過ssh-keygen生成ssh的公鑰和私鑰，將公鑰上傳到靶機(jī)的/root/.ssh/authorized_keys文件