靶机实战(10):OSCP备考之VulnHub Tre 1

最新推荐文章于 2024-05-07 19:58:07 发布
最新推荐文章于 2024-05-07 19:58:07 发布
阅读量1.1k 收藏 27
点赞数 18
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/135448106
版权

靶机官网:Tre: 1[1]

实战思路:

  1. 一、主机发现

  2. 二、端口发现(服务、组件、版本)

  3. 三、漏洞发现(获取权限)

    1. 8082端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞(目录、文件)

    2. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞(目录、文件)

    3. 22端口/SSH服务

      1. 组件漏洞

      2. 口令漏洞

    4. 80端口/HTTP服务

      1. URL漏洞(目录、文件)

  4. 四、提升权限

    1. tre用户

      1. sudo

      2. suid

      3. cron

  5. 后记

一、主机发现

本次攻击指定IP,不涉及主机发现过程。

二、端口发现(服务、组件、版本)

使用命令sudo -u root nmap 172.16.33.53 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。

db23b68f063e83866d3331ffbbb6c140.png

开放的端口

提供的服务

使用的组件

组件的版本

22/tcp

ssh

OpenSSH

7.9p1

80/tcp

http

Apache httpd

2.4.38

8082/tcp

http

nginx

1.14.2

-

os

Debian Linux

三、漏洞发现(获取权限)

8082端口/HTTP服务

组件漏洞

01、中间件组件:使用命令searchsploit nginx 1.,未发现组件nginx 1.14.2的Nday漏洞。

09848bf065b4120980a57c8014a8449d.png

02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。

35cd60043c68fcb7ff8b56c1a03b34ea.png

35bb1891f2c3a743c857bfeb105b008d.png

URL漏洞(目录、文件)

01、直接访问:使用浏览器打开http://172.16.33.53:8082/,只有一张竹子的图片。

638cd3c8c60d4d3610ed9fc234185ab8.png

02、目录扫描:使用命令dirb http://172.16.33.53:8082/ -R扫描网站的目录和文件,无收获。

92c93861272e6e0a772a6c6cb70b8844.png

03、模糊测试:基于当前已知信息,没有对网站的目录和文件进行FUZZ的必要。

04、信息收集:前面在Firefox访问网站的流量全都走BurpSuite代理,并使用HaE插件分析敏感信息,无收获。

6d426560ffa254596be17a06d67c65bc.png

这个报以最大期望的非标端口,竟就这样草草收场了。

80端口/HTTP服务

组件漏洞

01、中间件组件:使用命令searchsploit Apache httpd 2.4.,未发现Apache httpd 2.4.38组件的Nday漏洞。

ae3ba3593e4c86574af899b37e829747.png

02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。

63b4b20443eb92082f07e392ad6f50be.png

6a9176d9e598566f1df30d7a8c312dcd.png

URL漏洞(目录、文件)

01、直接访问:使用浏览器打开http://172.16.33.53/,只有一张竹子的图片。

a082c28250187991898027c8a7eb3d5d.png

02、目录扫描:使用命令dirb http://172.16.33.53/ -R扫描网站的目录和文件,发现/cms/目录及其子目录和文件、/info.php文件、/system文件。

d6191639a80c874c1e46b1d2a58d34f6.png

02-01、/cms/目录,打开会跳转到http://172.16.33.53/cms/site/页面。

7ec36d00d7b2aea79b3efbbaba7afe54.png

02-01-01、使用Wappalyzer、FindSomething等浏览器插件自动识别应用组件,对于识别到版本的组件,使用searchsploit命令和搜索引擎查找Nday漏洞,未发现可以用于获取权限的漏洞。

755856c3ad1821eda45a908936769912.png

02-01-02、直接访问http://172.16.33.53/cms/site/,发现是个静态页面,按钮都是href="#"的伪链接。

cd3805a886c5311a11652520ea2f3c6d.png

02-01-03、逐个访问前面目录扫描发现的/cms/下的子目录和文件,无收获。

3ee659480d187d1d0366076875bde1e7.png

02-02、/info.php文件,打开后是phpinfo()`页面,泄露的信息目前没有利用方式。

10aee29a749f4923be0a5ff56a15a0bb.png

02-03、/system文件其实是/system/目录,需要HTTP Basic Authorization才能访问,随手测一个admin/admin竟然对了,随后跳转到http://172.16.33.53/system/login_page.php页面,是Mantis Bug Tracker的登录页。

8c4588be477502b92db181a23b0513df.png

90b70d750993cfa76c071dc1554ca666.png

b579a28bfc32103597ab692d8d32a8b5.png

02-03-01、Wappalyzer、FindSomething等浏览器插件自动识别到的应用组件和前面的一样,不再深入排查。

f8fd9cc6db9c94a9ca1bc998c9ff01a9.png

02-03-02、在MantisBT 2.0 Admin Guide[2]找到默认账号administrator和密码root,但无法登录。

使用BurpSuite的Intruder爆破账号密码,也没有收获。

尝试注册账号进行登录,提示会发送邮件验证邮箱,但这种内网系统,邮件怎么发得出来嘛。

a851fca4c9dbafd8b02d39bb0497b398.png

49223ed2bf6b32275edcd6ed73baab58.png

02e9ddbb130a35d6fbf4a3beb9da5b72.png

02-03-03、使用命令dirb http://172.16.33.53/system/ -R扫描目录和文件,响应码是401 Unauthorized,咦那刚才爆破Mantis Bug Trackerhttp://172.16.33.53/system/login_page.php的账号密码也没说要认证呀。

重新使用命令dirb http://172.16.33.53/system/ -R -u admin:admin扫描,发现一些目录。

19077ed43e1c5373a6e489e47b6134a9.png

8e903a72b8a8f9ee5cbc540e12d4b521.png

逐个翻看目录,只有/system/config/有点意思。/system/config/目录下的a.txt文件,内容和config_inc.php.sample文件一样,是MantisBT的配置文件,而且有些参数已经配置上了,猜测是曾经用过的配置文件。查看文件大小,a.txtconfig_inc.php.sample一样,但是比config_inc.php大很多,所以当前正在使用的config_inc.php有可能未修改账号密码,只是删减了无用的注释和配置。此处先记下MySQL数据库的账号密码mantissuser/password@123AS

60653c0eda6681991e6970c7597da909.png

dd85b11290fa76f11b899de6dad450d4.png

OneMoreThink
关注
靶机 TRE
m0_46580995的博客
09-23 438
目录爆破 adminer 4.7.7 版本不符 暴力破解目录 找到配置文件 ssh登录 查权限 s
Vulnhub: InfoSec Prep:OSCP靶机
qq_43884092的博客
05-07 731
secret.txt获得ssh私钥,suid提权
Tre靶机
小小猪的博客
07-02 334
Tre靶机 arp-scan -l 扫描靶机IP地址 namp -sV -Pn -A x.x.x.131 扫描靶机IP地址 扫描目录 访问info.php,看到数据库 nikto -h x.x.x.131进行网页扫描,可以看到system中登陆账号密码均是admin/admin; admin/admin登陆: 得到如下界面 访问mantisbt/config目录 这个密码可以在adminer.php登陆; 数据库中找到了 登录成功 可以看到
靶机渗透测试(Tre: 1)
@小张小张的博客
09-21 972
靶机渗透测试(Tre: 1): Vulnhub靶机 Tre: 1 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(Intermediate) 目标:Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root). 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 得到靶机ip地址为:182.168.10.175;
Tre靶机打靶过程及思路
qq_52610024的博客
07-21 1061
4.利用mantis密码重置漏洞进入到后台管理界面,在manage功能下再次发现ssh可登录的账号密码。3.访问到敏感目录下sysytem下的数据库账号配置文件,利用该账号进入数据库查看到可疑账号密码,2.访问到401认证界面,弱口令修改之后登录成功,利用mantis最新版本rce突破外围打点成功。5.查找其他账号下具有可写的root权限文件,找到一个系统的shell脚本,修改该脚本内容。6.成功得到shell,成功得到root权限,打靶完成。,ssh登录得到该账号,外围突破完成。1.常规端口及服务发现。.
Vulnhub:Tre靶机渗透测试
最新发布
Aukum的博客
05-07 440
VulnHub Tre渗透,/system弱口令登录,mantis任意密码重置漏洞利用,Linux系统suid提权拿到flag
和oscp相似的靶机-hackthebox & vulnhub (OSCP-LIKE HACKTHEBOX & VULNHUB)
冬萍子癸水
04-06 3179
每台都做一做,然后记录在博客里.供自己和大家一起学习.
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
OSCP:OSCP考试材料
05-01
【标题】"OSCP: OSCP考试材料"指的是Offensive Security Certified Professional的备考资源,这是一个高级的渗透测试认证,旨在证明个人在网络安全攻击与防御方面的技能。OSCP认证由Offensive Security公司颁发,...
实战打靶集锦-020-Tre
阿尔泰野狼的博客
05-18 689
本文记录了博主的一次曲折打靶经历,包含dirb挂在big.txt扫描,系统可执行脚本提权等。
nginx $uri导致的CRLF注入漏洞
weixin_60719780的博客
12-05 1233
路径:nginx/insecure-configuration运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。Nginx会将进行解码,导致传入%0d%0a即可引入换行符,造成CRLF注入漏洞。错误的配置文件示例(原本的目的是为了让http的请求跳转到https上):下面两种情景十分常见:1.用户访问,自动跳转到将会301跳转到随着现在https的普及,很多站点都强制使用https访问,这样的跳转非常常见。2.用户访问,自动跳转到该场景主要是为了统一用户访问的域名,更加有
Apache-shiro漏洞利用合集
weixin_51339377的博客
04-15 2442
这里漏洞原理不再多进行赘述 主要是测试漏洞的利用过程 漏洞1:shiro-550 CVE-2016-4437 shiro反序列化漏洞 利用版本 Apache-shiro <1.2.4 漏洞环境docker安装 docker pull medicean/vulapps:s_shiro_1 systemctl restart docker docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 启动成功以后直接访问本地的8081端口即可
常用的30+种未授权访问漏洞汇总
qq_50854662的博客
09-17 5519
常用的30+种未授权访问漏洞汇总
Nginx-1.14.2 安装(这个有个漏洞,会导致过多的内存消耗,使用nginx 1.17.3版本就可以解决)
Value me 的博客
03-09 2346
系统平台:CentOS7 一、安装编译工具及库文件 yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel 二、首先要安装 PCRE PCRE 作用是让 Nginx 支持 Rewrite 功能。 1、下载 PCRE 安装包,下载地址: http://downloads.sourceforge.net/p...
vulnhub之tre1
weixin_54431413的博客
07-07 914
主要介绍突破边界的方法,已知漏洞的利用,Authorization:Basic YWRtaW46YWRtaW4=数据包头部登录验证,进阶目录爆破,以及通过shell脚本来提权。
【vulhub】Nginx错误配置导致的漏洞
qq_45300786的博客
04-21 1429
运行测试环境 docker-compose up -d 运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。 1.CRLF注入漏洞 漏洞介绍:CRLF是“\r\n”的简称,即回车+换行的意思。在HTTP协议里,http头部和http正文是用两个CRLF分割的,恶意的注入http返回包头部,即是CRLF注入漏洞。这也叫HTTP Response Splitting ,简称HRS。 漏洞复现:这里搭建了一个简单的靶机环境,错误配置示例如下,传入的 %oa%0d 会被uri解
应用安全 - 端口漏洞整理
weixin_30549175的博客
06-18 2899
21 FTP弱密码22 SSH弱密码23 telnet弱密码25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控69 尝试下载目标及其的各类重要配置文件80 IIS6 RCE80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探111 NFS ...
常用端口号及攻击方向汇总
热门推荐
星辰
10-22 2万+
渗透的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,可以使我们了解到服务器的一些关键信息,便于我们渗透目标服务器。下面我给大家介绍一下常见端口,以及端口的攻击方向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值