背景描述:隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,安全攻擊層出不窮���,同時(shí)��,隨著業(yè)務(wù)數(shù)據(jù)的價(jià)值越來(lái)越高��,數(shù)據(jù)泄露�����、頁(yè)面篡改�����、黑鏈等安全事件使得企業(yè)系統(tǒng)所面臨的安全威脅隨之增大,造成的損失愈發(fā)嚴(yán)重���。安全廠商的安全防護(hù)產(chǎn)品也是各顯神通���,攻防升級(jí)不斷加劇,對(duì)抗手段��、成本都在提升����。而作為企業(yè)�����,該如何防護(hù)自身的安全風(fēng)險(xiǎn)���,除了上各種安全設(shè)備,出臺(tái)一系列管理制度���,加強(qiáng)員工的安全意識(shí)���,也需培養(yǎng)相應(yīng)的安全人才,并對(duì)攻擊者的攻擊手段有所了解��,才能防患于未然���。所謂知己知彼��,百戰(zhàn)不殆��。
本文從攻擊者角度�����,講述如何拿下一臺(tái)目標(biāo)主機(jī)管理員權(quán)限����。所使用工具、技術(shù)皆為攻防研究所用�,切勿用于黑灰產(chǎn)行業(yè),滲透千萬(wàn)條�����,安全第一條�����,操作不規(guī)范����,親人兩行淚!
靶機(jī)難度:初級(jí)
靶機(jī)地址
靶機(jī)ip:192.168.1.108
靶機(jī)描述:目標(biāo)為拿下主機(jī)的root權(quán)限���,共有2個(gè)flag
用到的知識(shí)點(diǎn)、工具和漏洞:
Nmap端口掃描
XFF頭篡改
Burpsuit
Dirbuster目錄掃描
越權(quán)
Hydra ssh爆破
Php提權(quán)
主機(jī)探測(cè):netdiscover-i eth0 -r 192.168.1.0/24
端口探測(cè)及服務(wù)識(shí)別:nmap-sS -sV -T5 -A 192.168.1.108
當(dāng)前靶機(jī)開放了22和80端口�����,首先以80的web服務(wù)為突破口。
Ofcourse 先掃波目錄����,這里使用的kali自帶的dirbuster
/misc和/config目錄下沒發(fā)現(xiàn)啥有用的信息,先看下首頁(yè)有啥
提示本站點(diǎn)只能本地訪問����,估計(jì)是通過XFF頭進(jìn)行繞過,這里推薦一個(gè)火狐插件HeaderEditor,安裝后添加XFF字段
之后再訪問就正常了
首頁(yè)關(guān)注到了url中page參數(shù)����,是否存在文件包含或文件讀取,進(jìn)行了多次嘗試無(wú)果��。于是注冊(cè)了1個(gè)用戶登錄進(jìn)去看看有什么發(fā)現(xiàn)
Profile點(diǎn)進(jìn)去似乎是一個(gè)修改密碼的界面
在這里發(fā)現(xiàn)了一個(gè)關(guān)鍵參數(shù)user_id=14(url中的參數(shù))�,試著去更改該數(shù)值,真是喜從中來(lái)呀
用戶信息就變了�,確定這里存在越權(quán),通過該越權(quán)漏洞可以枚舉出所有的用戶信息���,我這里剛注冊(cè)的用戶id數(shù)為14���,那么我枚舉出id1-13的所有用戶,這里用burpsuit抓包傳到intruder進(jìn)行枚舉
將用戶名及密碼信息分別整理存放���,下一步可將該信息用于SSH爆破���,看是否能爆出用戶名密碼
接下來(lái)使用hydra進(jìn)行爆破
hydra-L user.txt -P pass.txt 192.168.1.108 ssh
得到一對(duì)用戶名密碼����,接下來(lái)使用ssh登錄上去
接下來(lái)看看home目錄下有啥東西�,
發(fā)現(xiàn)一個(gè).my_secret目錄,進(jìn)去找到了第一個(gè)flag
目前只是拿到了低權(quán)限賬號(hào)�����,下面要進(jìn)行提權(quán)��,提權(quán)可通過幾種途徑
Sudo -l 查詢具有sudo權(quán)限命令�����,然后提權(quán)
SUID提權(quán),find / -perm -u=s -type f 2>/dev/null
通過在/etc/passwd添加一個(gè)root權(quán)限的賬戶進(jìn)行提權(quán),
find / -writable -type f 2>/dev/null 查找可利用的可寫文件
內(nèi)核提權(quán)
其他
這里使用sudo-l 查詢有哪些sudo權(quán)限命令
這里需通過php提權(quán)
可通過上述命令進(jìn)行提權(quán)
拿到root權(quán)限后��,讀取最后一個(gè)flag
