breakout-2-morpheus
本地虚拟机部署,攻击机Kali(IP:10.1.1.128)
主机发现
确定目标主机IP地址10.1.1.130
端口扫描
TCP端口扫描
- nmap --min-rate 10000 -p- 10.1.1.130 -oA nmap_output/ports
- --min-rate 最低速率,由于本地虚拟机部署,无需考虑被封杀和资源消耗
- nmap -sS -n -Pn -T2 --max-rate 2000 --max-retries 2 -p- 10.1.1.130 -oA nmap_output/ports
- -sS 半开扫描,并伪造源IP地址-n 不使用DNS解析-Pn 不做存活探测-T 指定扫描速率,不指定默认为T3(1~5,数字越大扫描越快)--max-rate 最大速率--max-retries 最大尝试次数-oA 三种格式(全格式)输出结果进行保存
开放端口:22,80,81
端口详细信息扫描- nmap -sS -n -Pn -p 22,80,81,1 -sV -sC -O 10.1.1.130 -oA nmap_output/detail
- 1 指定一个处于关闭状态下的端口。如端口:1,在判断操作系统的时候,需要用开放的端口和关闭的端口进行比对-p 指定端口-sV 服务版本探测-sC 使用nmap默认脚本扫描-O 对操作系统进行识别探测
UDP端口扫描
- nmap -sU --top-ports 100 10.1.1.130 -oA nmap_output/udp
漏洞脚本扫描
- nmap --script=vuln -p22,80,81 10.1.1.130 -oA nmap_output/vuln
信息总结
- OS:Linux 4.15 - 5.19TCP端口开放:22 OpenSSH 8.4p1 Debian 5 (protocol 2.0)80 Apache httpd 2.4.51 ((Debian))81 nginx 1.18.0 401 Authorization RequiredUDP端口开放:目前无实际利用价值常见漏洞信息:无80端口web服务有robots.txt文件/robots.txt
浏览器查看
有一行提示,大致意思是已经锁定了SSH用户,所以推断目标虽然开放了22端口,可能不允许进行远程SSH登录,突破口的策略将其放置到最后
查看网页源代码,并保存唯一的照片
图片隐写
查看图片隐写,无内容
robots.txt
没有利用价值
目录爆破
- gobuster dir -u http://10.1.1.130 -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
观察了浏览器插件wappalyzer
并没有发现web端的技术栈是什么,所以穷举一下,完善gobuster扫描,指定常见的文件后缀名- gobuster dir -u http://10.1.1.130 -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x php,jsp,asp,txt -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
发现graffiti.txt和graffiti.php graffiti 涂鸦
浏览器访问这2个文件
提交数据抓包
发现提交数字1,保存在graffiti.txt文件中
任意文件写入
修改一下参数,是否能操作graffiti.php文件
后端源代码泄漏
返回包直接泄漏了graffiti.php后端源代码- [size=6]Nebuchadnezzar Graffiti Wall[/size]
- [size=6]
- Nebuchadnezzar Graffiti Wall
- [/size]
- Enter message:
- Message
- Post
- 1
- Enter message:
- MessagePost
那么直接在graffiti.php写入一句话木马
[code][/code]
验证一下是否解析
成功执行php代码
执行系统命令
反弹shell
kali自带php反弹shell脚本文件
/usr/share/webshells/php/php-reverse-shell.php
[code] |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
