arp-scan

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现 地址：https://www.vulnhub.com/entry/nullbyte-1,126/ nmap结果如下: 根据扫描的结果发现开放了80 端口，直接访问80端口 然后看都不看习惯使用dirb命令爆破猜测下目标靶机的目录，命令 dirb http://192.168.56.103 发现扫描出来了很多关于phpmyadmin的目录，在这个地方我尝试使用phpmyadmin的渗透技巧去测试，但是都没有结果，包括的方法有，默认账号密码，密码爆破，默认路径，确认目标版本看是否存在Nday，等操作，但实际突破口并不是在这里，于是峰回路转还是再看回来看下刚开始访问的那个首页的默认图片，将目标图片下载下来使用strings命令查看 还是发现了一些敏感信息 kzMb5nVYJw 刚开始以为这是密码，后来尝试发现这是个目录路径

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现 地址:https://www.vulnhub.com/entry/sar-1,425/ 根据扫描结果开放了80端口，使用dirb http://192.168.56.105 发现猜解出来上述目录，访问robots.txt文件找到一个访问路径 直接访问这个地址看看 在谷歌和GitHub上搜索关键字，发现此版本刚好存在远程命令执行漏洞和文件上传，具体演示如下： 远程命令执行：https://www.exploit-db.com/exploits/47204 文件上传漏洞：https://github.com/cemtan/sar2html 这里的文件上传没有任何过滤，并且这个GitHub地址上给出了默认路径，尝试默认路径可以直接知道上传shell的路径 shell的路径就是上面GitHub地址披露的路径 http:/

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现 地址:https://www.vulnhub.com/entry/toppo-1,245/ 直接nmap扫描 目标开了个80端口，访问看看 发现一个admin目录，访问看看 根据提示是知道目标靶机的密码，但是不知道用户名，这个时候尝试试试看的态度，看用户名是否是ted，通过这个用户名使用ssh去登录目标靶机 居然登录成功 拿到此权限看看是否存在SUID的权限 find / -perm -u=s -type f 2>/dev/null 发现含有类似awk的编译环境，具体可看下面链接了解 https://www.cnblogs.com/GodMode/p/4949370.html 直接使用此命令进行提权 mawk 'BEGIN {system("/bin/sh")}' 这里因为python也存在SUID的权限

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现； 地址:https://www.vulnhub.com/entry/stapler-1,150/ sudo nmap -n -p- -sC -sV -T5 -Pn -oN stapler.nmap 192.168.202.15 nmap扫描结果 开放的端口还是很多的，从前面一个一个来，探测到目标靶机开放了21端口并且允许匿名登录，登录上去看看 看到一个文件note 下载下来看到如上信息，得到两个用户名john和elly先放着，继续下面的端口，22端口就先放着，使用gobuster爆破了下目标靶机的目录没发现什么有价值的信息，然后使用nikto扫描了下，发现了两个敏感文件 使用wget下载下来，发现并没有什么作用，继续向下看发现了Samba服务，我们使用命令枚举下信息 enum4linux 192.168.202.15