vulnhub digitalworld.local: DEVELOPMENT

已于 2022-07-04 21:32:44 修改
阅读量596 收藏 2
点赞数 1
分类专栏: vulnhub 文章标签: lshell slogin_lib md5 vim nano
于 2022-07-04 20:57:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/125608463
版权

写在最前面:

这个靶机真的很烦,有入侵检测系统的,动不动就连不上了TAT

不要扫描!!

不要尝试远程文件包含!!

万一连不上了,那就重启靶机吧……

渗透思路:

nmap扫描----根据网页和注释中的各种提示找到developmentsecretpage----利用Simple Text-File Login script(slogin_lib.inc.php)的敏感信息泄露获得用户ssh密码----绕过Lshell----vim/nano sudo提权

环境信息:

靶机:192.168.101.79

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.79

发现TCP端口22(ssh)、113(不知道啥)、139和445(smb相关)、8080(http)

2、发现developmentsecretpage

浏览器访问http://192.168.101.79:8080/看到下面的页面

其中有两个重要的提示:

1、可以在html_pages看到部分项目

There are many projects in this box. View some of these projects at html_pages.

2、靶机有入侵检测系统。这就是扫描、远程文件包含、ssh用户登录失败导致靶机无法连接的原因。

WARNING! We are experimenting a host-based intrusion detection system. Report all false positives to patrick@goodtech.com.sg.

查看网页源代码,发现注释中提示寻找development secret page,还发现一个人名Patrick

<!-- Searching for development secret page... where could it be? -->

<!-- Patrick, Head of Development-->

浏览器访问http://192.168.101.79:8080/html_pages,发现一些文件名

其中http://192.168.101.79:8080/about.html包含另一个人名David(后来发现没啥用)

浏览器访问http://192.168.101.79:8080/development.html,并查看网页源代码,发现注释中提供了development secret page的路径./developmentsecretpage

<!-- You tried harder! Visit ./developmentsecretpage. -->

3、利用Simple Text-File Login script(slogin_lib.inc.php)的敏感信息泄露获得用户ssh密码

浏览器访问http://192.168.101.79:8080/developmentsecretpage/

点击Patrick's来到http://192.168.101.79:8080/developmentsecretpage/patrick.php

点击sitemap来到http://192.168.101.79:8080/developmentsecretpage/sitemap.php

点击Click here to log out来到一个登录页面http://192.168.101.79:8080/developmentsecretpage/sitemap.php?logout=1

随便输入用户名和密码,点Enter,发现下图前两行所示报错信息,表明登录服务用到了slogin_lib.inc.php

google搜索slogin_lib.inc.php,发现已知漏洞

Simple Text-File Login script (SiTeFiLo) 1.0.6 - File Disclosure / Remote File Inclusion - PHP webapps Exploit

根据该敏感信息泄露漏洞描述,在浏览器中访问http://192.168.101.79:8080/developmentsecretpage/slog_users.txt

发现4个用户名和md5加密的密码

admin, 3cb1d13bb83ffff2defe8d1443d3a0eb

intern, 4a8a2b374f463b7aedbb44a066363b81

patrick, 87e6d56ce79af90dbe07d387d3d0579e

qiu, ee64497098d0926d198f54f6d5431f98

在网站MD5免费在线解密破解_MD5在线加密-SOMD5进行解密,admin的密码解不出来,其他三组用户名密码如下

intern 12345678900987654321

patrick P@ssw0rd25

qiu qiu

4、绕过Lshell

分别尝试用这三个用户进行ssh登录,只有intern可以登录

ssh intern@192.168.101.79

intern登录之后发现只能执行上图中的几个命令

google搜索 cd clear echo exit help ll lpath ls 发现是Lshell,并搜索到多种Lshell的绕过方式,

比如下面两条命令都可以

echo os.system('/bin/bash')
echo && 'bash'

(绕过Lshell后输入env查看SHELL参数值,发现果然是lshell)

Lshell绕过方法和漏洞原因详见

Lshell - aldeid

#834949 - lshell: CVE-2016-6902: Shell outbreak due to bad syntax parse - Debian Bug report logs

python - Why does "echo os.system('/bin/bash')" work? - Unix & Linux Stack Exchange

5、vim/nano sudo提权

进入到/home目录发现除了intern还有用户admin和patrick

admin的密码不知道,patrick的密码是知道的(步骤3),用su命令切换到patrick

su - patrick

执行sudo -l发现patrick可以sudo执行vim和nano,这两个命令都可以sudo提权

vim提权方法如该网页所示vim | GTFOBins

命令行输入

sudo vim -c ':!/bin/bash'

即可得到root的shell

nano提权方法见nano | GTFOBins

由于分了好几步,就不每步都截图了,最后效果如下图所示

仙女象
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Digitalworld.local (Development)--VulnHub靶机学习记录
weixin_45509443的博客
07-24 628
1.端口扫描 2.登录8080看下,根据说明有隐藏页面,然而nikto dirb等都无法目录扫描,应该也是像页面提示说的一样被入侵检测系统拦截了,那怎么找目录呢,这就有点脑洞了,原来隐藏目录就是html_pages 进入隐藏目录,接下来就是一顿翻目录了 最后在/development.html目录,查看源码发现提示,进入秘密页面 /developmentsecretpage 发现登录页面 ,无论输入什么都是报错,爆破注入什么的别想了,都是连接超时,smb服务爆破同样结局,看来..
vulnhub - digitalworld.local: DEVELOPMENT (考点:信息搜集/slogin_lib.inc.php / lshell / ubantu&vim提权)
冬萍子癸水
04-25 773
https://www.vulnhub.com/entry/digitalworldlocal-development,280/ nat网络, arp-scan -l 比平常多出的ip就是靶机了 nmap 看到22想到ssh登录,8080是web,进去搜集信息,139 445是smb搜敏感文件 PORT STATE SERVICE VERSION 22/tcp open ss...
靶机渗透练习54-digitalworld.local:DEVELOPMENT
hirak0的博客
04-19 2757
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-development,280/ Description This machine reminds us of a DEVELOPMENT environment: misconfigurations rule the roost. This is designed for OSCP practice, and the original version of the machine wa
vulhub thinkPHP5 SQL注入&&敏感信息泄露漏洞复现
weixin_53696027的博客
05-22 711
关于vulhub中thinkPHP SQL注入的漏洞复现及其简单的原理介绍
OSCP练习:vulhub靶机DIGITALWORLD.LOCAL: DEVELOPMENT
weixin_47311099的博客
11-08 380
OSCP练习DIGITALWORLD.LOCAL: DEVELOPMENT
靶场:digitalworld.local: VENGEANCE
03-30
没有截图,但是有用的东西,全部都写上了 。一步一步来就能得到root。每一步都有描述,都有讲解。其中没有的部分,就没有卸载wp中,也不用操作,少走弯路。
c9.ide.local:Cloud9核心插件c9.ide.local的存储库
05-11
“c9.ide.local:Cloud9核心插件c9.ide.local的存储库”这个标题指出了我们正在讨论的是Cloud9 IDE的一个核心插件——c9.ide.local。Cloud9是一个流行的在线集成开发环境(IDE),它支持多种编程语言,而c9.ide.local...
ansible.local:用于本地执行的Ansible剧本
02-11
`ansible.local` 是 Ansible 的一种用法,它允许你在本地机器上运行 Ansible 剧本,而无需通过 SSH 或其他远程协议连接到目标主机。这种方式特别适合于测试、开发环境或对单机进行自动化操作。 ### Ansible 基础...
dotfiles.local:本地配置的安装脚本
04-11
Dotfiles.local 概述 安装本地点文件和有用的...git clone https://github.com/masa0x80/dotfiles.local.git ~/.dotfiles.local cd ~/.dotfiles.local make 可选步骤: 升级酒桶应用程序。 make brew-cask-upgrade
Login-Logout-System-using-Session-in-PHP:在该系统中,我们了解了如何连接到数据库以及如何使用PHP进行登录注销会话。 这是系统的源代码。 要查找视频并观看演示,请点击此处
03-28
在PHP中使用会话登录注销系统 在该系统中,我们了解了如何连接到数据库以及如何使用PHP进行登录注销会话。 这是系统的源代码。 要查找视频并观看演示,请单击此处: :
development-improved靶场渗透
qq_20032803的博客
02-05 798
1.扫描主机 root@kali:~# nmap --script vuln 192.168.100.131 Starting Nmap 7.80 ( https://nmap.org ) at 2021-02-05 01:08 EST Stats: 0:00:26 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
Using the Metasploit PHP Remote File Include Module
cnbird's blog
05-24 1336
Metasploit has a nifty PHP Remote File Include module that allows you to get a command shell from a RFI.Not too complicated to use, set your normal RHOST/RPORT options, set the PATH and set your PHP
CM5(5.11.0)和CDH5(5.11.0)离线安装
weixin_33816300的博客
05-22 186
转载自:http://www.cnblogs.com/codedevelop/p/6762555.html概述CDH (Cloudera's Distribution, including ApacheHadoop),是Hadoop众多分支中的一种,由Cloudera维护,基于稳定版本的Apache Hadoop构建,并集成了很多补丁,可直接用于生产环境。Cloudera ...
tdengine集群安装部署
weixin_32196893的博客
04-19 2107
1. 官网下载server和client安装包,保证服务端和客户端的版本一致 server: TDengine-server-2.4.0.16-Linux-x64.tar.gz (15.5 M) client:TDengine-client-2.4.0.16-Linux-x64-Lite.tar.gz (3.1 M) 2. 集群规划(4台centos7虚拟机) pc ip hostname linux-1 192.168.101.78 h1.taosdata.com linux-2 19
靶机渗透练习53-digitalworld.local:BRAVERY
hirak0的博客
04-19 5604
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/ Description This machine hopes to inspire BRAVERY in you; this machine may surprise you from the outside. This is designed for OSCP practice, and the original version of the machine
digitalworld.local: JOY靶机-Walkthrough
ins1ght的博客
10-02 613
通过FTP匿名账户获取directory,对其中的信息筛选后,确定version_control为线索。site cpto将version_control拷贝到FTP的upload文件夹,最终发现ProFTPD存在命令执行漏洞,成功getshell。之后发现了patrick用户的密码,切换用户后,发现了sudo权限的test。由于patrick没有test的写权限,于是先创建一个test,内容为/bin/sh,后用put test上传到upload文件夹中,最后使用site cpto覆盖原有test,提权。
rc.local[584]: /etc/rc.local: 19: /etc/rc.local: cannot create /sys/class/net/can1/operstate: Permission denied
最新发布
06-10
这是一个来自 `/etc/rc.local` 脚本的错误消息,表示在尝试创建 `/sys/class/net/can1/operstate` 文件时出现了权限被拒绝的错误。`/sys/class/net` 目录包含网络接口的信息,而 `can1/operstate` 文件包含了 can1 网络接口的状态信息。 这个问题的原因可能是 `/etc/rc.local` 脚本缺少必要的权限,您可以尝试以下操作来解决这个问题: 1. 打开终端,输入以下命令以编辑 `/etc/rc.local` 文件: ``` sudo nano /etc/rc.local ``` 2. 在文件中添加以下行,这将授予 `/etc/rc.local` 脚本执行的必要权限: ``` sudo chmod +x /etc/rc.local ``` 3. 保存并关闭文件,然后重新启动计算机以使更改生效。 这样,当系统启动时,`/etc/rc.local` 脚本将具有执行所需操作的必要权限,从而避免了权限被拒绝的错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值