靶机实战(10):OSCP备考之VulnHub Tre 1

于 2024-01-07 22:17:51 发布
阅读量1k 收藏 27
点赞数 18
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/135448106
版权

靶机官网:Tre: 1[1]

实战思路:

  1. 一、主机发现

  2. 二、端口发现(服务、组件、版本)

  3. 三、漏洞发现(获取权限)

    1. 8082端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞(目录、文件)

    2. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞(目录、文件)

    3. 22端口/SSH服务

      1. 组件漏洞

      2. 口令漏洞

    4. 80端口/HTTP服务

      1. URL漏洞(目录、文件)

  4. 四、提升权限

    1. tre用户

      1. sudo

      2. suid

      3. cron

  5. 后记

一、主机发现

本次攻击指定IP,不涉及主机发现过程。

二、端口发现(服务、组件、版本)

使用命令sudo -u root nmap 172.16.33.53 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。

db23b68f063e83866d3331ffbbb6c140.png

开放的端口

提供的服务

使用的组件

组件的版本

22/tcp

ssh

OpenSSH

7.9p1

80/tcp

http

Apache httpd

2.4.38

8082/tcp

http

nginx

1.14.2

-

os

Debian Linux

三、漏洞发现(获取权限)

8082端口/HTTP服务

组件漏洞

01、中间件组件:使用命令searchsploit nginx 1.,未发现组件nginx 1.14.2的Nday漏洞。

09848bf065b4120980a57c8014a8449d.png

02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。

35cd60043c68fcb7ff8b56c1a03b34ea.png

35bb1891f2c3a743c857bfeb105b008d.png

URL漏洞(目录、文件)

01、直接访问:使用浏览器打开http://172.16.33.53:8082/,只有一张竹子的图片。

638cd3c8c60d4d3610ed9fc234185ab8.png

02、目录扫描:使用命令dirb http://172.16.33.53:8082/ -R扫描网站的目录和文件,无收获。

92c93861272e6e0a772a6c6cb70b8844.png

03、模糊测试:基于当前已知信息,没有对网站的目录和文件进行FUZZ的必要。

04、信息收集:前面在Firefox访问网站的流量全都走BurpSuite代理,并使用HaE插件分析敏感信息,无收获。

6d426560ffa254596be17a06d67c65bc.png

这个报以最大期望的非标端口,竟就这样草草收场了。

80端口/HTTP服务

组件漏洞

01、中间件组件:使用命令searchsploit Apache httpd 2.4.,未发现Apache httpd 2.4.38组件的Nday漏洞。

ae3ba3593e4c86574af899b37e829747.png

02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。

63b4b20443eb92082f07e392ad6f50be.png

6a9176d9e598566f1df30d7a8c312dcd.png

URL漏洞(目录、文件)

01、直接访问:使用浏览器打开http://172.16.33.53/,只有一张竹子的图片。

a082c28250187991898027c8a7eb3d5d.png

02、目录扫描:使用命令dirb http://172.16.33.53/ -R扫描网站的目录和文件,发现/cms/目录及其子目录和文件、/info.php文件、/system文件。

d6191639a80c874c1e46b1d2a58d34f6.png

02-01、/cms/目录,打开会跳转到http://172.16.33.53/cms/site/页面。

7ec36d00d7b2aea79b3efbbaba7afe54.png

02-01-01、使用Wappalyzer、FindSomething等浏览器插件自动识别应用组件,对于识别到版本的组件,使用searchsploit命令和搜索引擎查找Nday漏洞,未发现可以用于获取权限的漏洞。

755856c3ad1821eda45a908936769912.png

02-01-02、直接访问http://172.16.33.53/cms/site/,发现是个静态页面,按钮都是href="#"的伪链接。

cd3805a886c5311a11652520ea2f3c6d.png

02-01-03、逐个访问前面目录扫描发现的/cms/下的子目录和文件,无收获。

3ee659480d187d1d0366076875bde1e7.png

02-02、/info.php文件,打开后是phpinfo()`页面,泄露的信息目前没有利用方式。

10aee29a749f4923be0a5ff56a15a0bb.png

02-03、/system文件其实是/system/目录,需要HTTP Basic Authorization才能访问,随手测一个admin/admin竟然对了,随后跳转到http://172.16.33.53/system/login_page.php页面,是Mantis Bug Tracker的登录页。

8c4588be477502b92db181a23b0513df.png

90b70d750993cfa76c071dc1554ca666.png

b579a28bfc32103597ab692d8d32a8b5.png

02-03-01、Wappalyzer、FindSomething等浏览器插件自动识别到的应用组件和前面的一样,不再深入排查。

f8fd9cc6db9c94a9ca1bc998c9ff01a9.png

02-03-02、在MantisBT 2.0 Admin Guide[2]找到默认账号administrator和密码root,但无法登录。

使用BurpSuite的Intruder爆破账号密码,也没有收获。

尝试注册账号进行登录,提示会发送邮件验证邮箱,但这种内网系统,邮件怎么发得出来嘛。

a851fca4c9dbafd8b02d39bb0497b398.png

49223ed2bf6b32275edcd6ed73baab58.png

02e9ddbb130a35d6fbf4a3beb9da5b72.png

02-03-03、使用命令dirb http://172.16.33.53/system/ -R扫描目录和文件,响应码是401 Unauthorized,咦那刚才爆破Mantis Bug Trackerhttp://172.16.33.53/system/login_page.php的账号密码也没说要认证呀。

重新使用命令dirb http://172.16.33.53/system/ -R -u admin:admin扫描,发现一些目录。

19077ed43e1c5373a6e489e47b6134a9.png

8e903a72b8a8f9ee5cbc540e12d4b521.png

逐个翻看目录,只有/system/config/有点意思。/system/config/目录下的a.txt文件,内容和config_inc.php.sample文件一样,是MantisBT的配置文件,而且有些参数已经配置上了,猜测是曾经用过的配置文件。查看文件大小,a.txtconfig_inc.php.sample一样,但是比config_inc.php大很多,所以当前正在使用的config_inc.php有可能未修改账号密码,只是删减了无用的注释和配置。此处先记下MySQL数据库的账号密码mantissuser/password@123AS

60653c0eda6681991e6970c7597da909.png

dd85b11290fa76f11b899de6dad450d4.png

OneMoreThink
关注
  • 18
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VulnHub Tre
人若无名,便可专心练剑
10-25 80
来执行这个脚本的,而这且都是开机自启动。,但同时其他用户可以对该文件进行写的敏感文件。所以对该脚本进行修改,让其在重启是反弹。这样的关于内核的文件,将目标重点放在。然后键入下面的命令来查看:属主是。而且由于开机是高权限,大概率是。使靶机重启,进而成功的反弹。不难发现两个程序都是通过。命令,从而控制靶机启动。创建,所以很有可能会有。的相关程序对其进行引用。
Nginx 配置错误导致漏洞
来日可期的博客
09-10 2487
Nginx 是一款常用的开源 Web 服务器软件,但在配置过程中可能会出现一些错误,导致潜在的安全漏洞。CRLF注入漏洞,目录穿越漏洞,add_header被覆盖
nginx配置错误导致的漏洞
yumengzth的博客
08-04 3338
0x00 运行环境 ubuntu进入/vulhub-master/nginx/insecure-configuration目录 执行以下命令,运行环境。 docker-compose up -d 运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。 0x01 CRLF注入漏洞 1.前提 下面两种跳转情景十分常见: 1. 用户访问http://example.co...
常用的30+种未授权访问漏洞汇总
weixin_52501704的博客
08-11 8717
未授权访问漏洞汇总预览 1 、FTP 未授权访问(21) 2 、LDAP 未授权访问(389) 3 、Rsync 未授权访问(873) 4 、ZooKeeper 未授权访问(2181) 5 、Docker 未授权访问(2375) 6 、Docker Registry未授权(5000) 7 、Kibana 未授权访问(5601) 8 、VNC 未授权访问(5900、5901) 9 、CouchDB 未授权访问(5984) 15 10 、Apache Spark 未授权访问(6066、8.
靶场实战(7):OSCP备考VulnHub Potato 1
最新发布
OneMoreThink
01-04 1044
靶机官网:Potato: 1[1]实战思路:主机发现端口发现(服务、组件、版本)漏洞发现(获取权限)2112端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞1(目录、文件)URL漏洞2(目录、文件)22端口/SSH服务组件漏洞口令漏洞提升权限01、suid02、cron03、sudo一、主机发现本次攻击指定IP,不涉及主机发现过程。二、端口发现(服务、组件、版本)使用命令s...
nginx $uri导致的CRLF注入漏洞
weixin_60719780的博客
12-05 1192
路径:nginx/insecure-configuration运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。Nginx会将进行解码,导致传入%0d%0a即可引入换行符,造成CRLF注入漏洞。错误的配置文件示例(原本的目的是为了让http的请求跳转到https上):下面两种情景十分常见:1.用户访问,自动跳转到将会301跳转到随着现在https的普及,很多站点都强制使用https访问,这样的跳转非常常见。2.用户访问,自动跳转到该场景主要是为了统一用户访问的域名,更加有
Apache-shiro漏洞利用合集
weixin_51339377的博客
04-15 2384
这里漏洞原理不再多进行赘述 主要是测试漏洞的利用过程 漏洞1:shiro-550 CVE-2016-4437 shiro反序列化漏洞 利用版本 Apache-shiro <1.2.4 漏洞环境docker安装 docker pull medicean/vulapps:s_shiro_1 systemctl restart docker docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 启动成功以后直接访问本地的8081端口即可
【vulhub】Nginx错误配置导致的漏洞
qq_45300786的博客
04-21 1256
运行测试环境 docker-compose up -d 运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。 1.CRLF注入漏洞 漏洞介绍:CRLF是“\r\n”的简称,即回车+换行的意思。在HTTP协议里,http头部和http正文是用两个CRLF分割的,恶意的注入http返回包头部,即是CRLF注入漏洞。这也叫HTTP Response Splitting ,简称HRS。 漏洞复现:这里搭建了一个简单的靶机环境,错误配置示例如下,传入的 %oa%0d 会被uri解
使用Elastic Security检测最新的spring4shell漏洞
点火三周的专栏
04-08 1389
这个漏洞在清明假期刚出来的时候就想研究一下,一直拖延到现在。看来是已经赶不上热度了,但我觉得还是值得记录一下的。特别是Elastic刚刚在Forrester的“终端检测与响应Wave”报告中, 被评为“Strong Performer”(卓越表现者) 而对于这种层出不穷的零日漏洞,即便是购买了昂贵的网络安全设备都防不住,只能做事后诸葛。那不如考虑看看免费的开源解决方案,并且检测与响应已经成为了一种安全防御的共识:边界防御是一定会被渗透的,快速的检测与响应是必须的。 Spring4Shell 漏洞的工作原理
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
VulnHub 靶机系列实战教程.pdf
07-22
VulnHub 靶机系列实战教程.pdf
OscpStudyGroup:OSCP研究小组
03-19
linux提权辅助脚本2 : : 7,Windows提权辅助脚本: : 8,Windows提权辅助辅助工具: : 9,oscp备考解读: : //www.aqniukt.com/course/13464四,OSCP自学笔记-靶机练习这个系列中笔者将撤除10台典型靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
OSCP - 64Base_3mrgnc3 的破解
热门推荐
kevinhanser
03-04 1万+
本文主要记录对 64Base_3mrgnc3 的渗透学习过程,测试的 VM 主机主要来源 www.vulnhub.com 博客集:面向 CTF 的 VM 破解系列 下载链接:64Base_3mrgnc3 首先设置靶机和kali在同一个网段中。然后用 netdiscover 发现IP root@kali:~# netdiscover -r 10.10.10.0/24 Currently...
OSCP-ZenPhoto(zenphoto)
墨痕诉清风的博客
04-24 165
目标机器的根页面将带到标题为“UNDER CONSTRUCTION”(建设中)的空白页面。/test/目录将带到下面的页面,根据右下角,该页面正在ZenPhoto上运行。查看页面源代码并滚动到底部可以看到正在运行的ZenPhoto的确切版本。该shell不太稳定,反弹一个稳定的shell。爆破目录 和 nikto 一下。以下漏洞检测为“极有可能”google搜索查看漏洞。
Nginx中间件漏洞复现
未完成的歌~的博客
04-23 1023
当URL中有不存在的文件,PHP就会向前递归解析,当遇到文件路径 /test.png/x.php 时,若 x.php 不存在则会向前解析,判断 /test.png 是否存在,若存在,则把 /test.png 解析为 text.php,若不存在则继续向前解析。最后请求的是 /admin/index.php,成功访问到后台。但我们注意到,url上 /files 没有加后缀 /,而alias设置的 /home/ 是有后缀/的,这个 / 就导致我们可以从 /home/ 目录穿越到他的上层目录。
应用安全 - 端口漏洞整理
weixin_30549175的博客
06-18 2852
21 FTP弱密码22 SSH弱密码23 telnet弱密码25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控69 尝试下载目标及其的各类重要配置文件80 IIS6 RCE80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探111 NFS ...
vulnhub靶机——raven: 2
09-03
Raven: 2是一台中级难度的boot2root虚拟机,目标是获取四个标志(flag)。Raven Security在多次遭受入侵后,采取了额外措施来加固他们的web服务器,以防止黑客入侵。你可以在Vulnhub上找到Raven: 2的ova文件,并使用VirtualBox打开。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶机raven2](https://blog.csdn.net/weixin_52450702/article/details/127811079)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vulnhub靶机——RAVEN: 2](https://blog.csdn.net/qq_44029310/article/details/126491848)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)](https://download.csdn.net/download/weixin_38717843/14052717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值