一、信息收集
1.1.主机发现&端口扫描
1.2.目录扫描
1.3.敏感信息总结
二、漏洞发现
2.1.FTP匿名登录
2.2.压缩包密码枚举
2.3.ssh私钥文件利用
2.4.提权
三、结语
一、信息收集
1.1.主机发现&端口扫描
nmap使用方法:一篇文章带你理解nmap的使用-nmap使用手册
1.2.目录扫描
1.3.敏感信息总结
端口探测发现开放了21、22、80端口 目录扫描没发现什么 /etc/apache2/ |-- apache2.conf | `-- ports.conf |-- mods-enabled | |-- *.load | `-- *.conf |-- conf-enabled | `-- *.conf |-- sites-enabled | `-- *.conf
二、漏洞发现
2.1.FTP匿名登录
FTP操作说明请跳转往期文章:FTP命令解析-帮助你更快凌驾FTP文件系统
匿名用户登录,账号是anonymous(匿名)不需要密码,密码更多只是标识身份的象征因为登录会有日志记录。
可以发现存在很多的压缩包文件,我们用之前讲过的命令全部下载到本地。
mget *.*
#全部回车即可-
lcd:更改本地工作目录
-
lpwd:显示本地工作目录
-
mget:下载多个文件到本地计算机。
-
*.*代表任何文件名和任何后缀的文件
exit退出ftp,查看并赋予一下执行权限
2.2.压缩包密码枚举
用unzip解压发现都是存在密码的
这里用到两个新工具
-
fcrackzip:用户枚举工具
-
/usr/share/wordlists:kali字典存放目录
给大伙翻译一下工具的用法
fcrackzip[-b|--brute-force] 使用暴力破解算法[-D|--dictionary] 使用字典攻击[-B|--benchmark] 执行一个小型基准测试[-c|--charset characterset] 使用指定字符集中的字符[-h|--help] 显示此帮助信息[--version] 显示程序版本[-V|--validate] 对算法进行合理性检查[-v|--verbose] 提供更多详细输出[-p|--init-password string] 使用指定字符串作为初始密码或文件名[-l|--length min-max] 检查密码的长度范围,最小值到最大值[-u|--use-unzip] 使用 unzip 来过滤错误密码[-m|--method num] 使用指定的算法编号 "num"(见下文)[-2|--modulo r/m] 只计算密码的 1/m 部分file... 要破解的 zip 文件
使用对应的参数,然后开多个窗口一起爆破
fcrackzip -D -u -p /usr/share/wordlists/rockyou.txt anna.zip最终结果解压出两个id_rsa文件,注意!!!这两个文件名是相同的过程中可以如下图修改其中一个文件的名称。
2.3.ssh私钥文件利用
.ssh文件夹是SSH(Secure Shell)协议的一部分,用于管理远程主机的身份验证和安全连接。在Windows操作系统的C盘下的隐藏文件夹.ssh里,通常会包含一对密钥文件,分别是id_rsa和id_rsa.pub。首先,让我们了解一下
id_rsa.pub文件的作用。这个文件是SSH公钥文件,其中包含的信息用于进行公钥身份验证。在SSH中,公钥和私钥是一对,通过这对密钥,可以实现更加安全的远程连接。公钥和私钥的工作原理是基于非对称加密算法。在这种算法中,有一个用于加密的公钥,以及一个用于解密的私钥。在SSH中,
id_rsa是私钥文件,而id_rsa.pub是公钥文件。公钥可以自由传播,而私钥必须保持机密。
ssh中有对应的参数可以指定这个id_rsa文件
使用ssh私钥登录
2.4.提权
发现是个rbash,果断先用一下之前的rbash逃逸防止后续命令失败
这里提权是发现了一个密码,在当前目录查看隐藏文件的时候
有了密码就查看sudo提权
发现允许我们以root权限执行所有命令,直接/bin/bash提权成功
三、结语
本次信息收集与漏洞发现的过程,旨在通过系统性的方法识别和评估目标系统中的潜在安全风险。从主机发现与端口扫描,到敏感信息的收集,再到FTP匿名登录、压缩包密码枚举等漏洞的发现,我们深入分析了系统中的多个薄弱环节。特别是在提权环节,展示了如何利用已知的漏洞或配置错误获取更高的访问权限。