调整内核版本:
在 ALiyun 上面开了一台 centos7.6,然后把内核版本替换为与目标内核版本一致:
wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-3.10.0-957.27.2.el7.x86_64.rpm
wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
grub2-set-default "CentOS Linux (3.10.0-957.27.2.el7.x86_64) 7 (Core)"
reboot
获取 www 权限:
yum -y update
yum -y install httpd
yum -y install php
systemctl start httpd.service
向默认目录 /var/www/html
下写入一个 index.html,访问发现 apache 服务起成功了:
往 /var/www/html
web 目录
nmap -sP 192.168.23.1/24
其中:
192.168.23.1
是虚拟网卡使用的地址:192.168.23.254
是 DHCP 服务器的地址;192.168.23.138
是攻击机 Kali;192.168.23.2
是虚拟网卡的网关地址:所以综上排除之后,靶机的 IP 为 192.168.23.139
。
nmap -sS -Pn -T4 -p 1-65535 192.168.23.139
使用 msf 的 scanner/ssh/ssh_login
来爆破此靶机的 22 端口:
msfconsole
search scanner/ssh
use scanner/ssh/ssh_login
set RHOSTS 192.168.23.139
set THREADS 200
set Username root
set PASS_FILE /root/Desktop/dic_password_ssh.txt
run
对这种一般环境黑盒测试使用通用字典进行爆破。
字典选择了我在 SNETCracker
这个工具里面扒下来的弱 ssh 密码字典。
根据目标环境ssh用户名设为 root
足矣。
注:SNETCracker
这个工具也很好用,可单用。
虽然 ruby 略慢,最终跑出来了,一无所获:
在此相当于一个纯黑盒环境,所以我用通用字典跑。在一些灰盒环境,可以根据获取的信息,如时间、公司名称缩写、域名称缩写这些信息建立一个针对性的字典。一些公司用户名就是
名称@年份
。
还可以抓 shadow 跑密码,丢到字典里面去,在遇到运维设置不太好的情况下,有时候能够通杀一大片。
1898 端口是一个网站。功能点较为单一、尝试进行信息收集。