【Orasi靶机】

已于 2022-09-29 17:58:22 修改
阅读量1.7k 收藏 1
点赞数
分类专栏: 靶机挑战 文章标签: 系统安全 web安全 python
于 2022-09-29 17:56:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40646572/article/details/127108252
版权

信息收集

开启靶机,以及kali主机
在这里插入图片描述
由于设置的靶机与kali主机网络连接方式均为NAT网络,只需要查看kali主机所属ip段,然后使用nmap扫描靶机获取ip地址以及对应的服务开启的情况。
在这里插入图片描述
nmap扫描后,获取到靶机的ip地址以及对应的服务。发现靶机开启了ftp、ssh、http、upnp服务,猜测upnp服务可能时一个关键点。

寻找靶机漏洞

首先查看下,80端口对应的http服务。
在这里插入图片描述
未发现可以直接使用的漏洞,(此处的页面展示信息格式感觉十分熟悉,后面才想起了这不是crunch字典生成工具的格式嘛)我使用dib以及dirsearch工具扫描网站的目录,啥也没有,G。
发现存在一个5000端口,先看下。
在这里插入图片描述
发现5000端口的服务属于http服务。
在这里插入图片描述
先用目录扫描工具扫一波,依旧啥也没有,G。(难受)
下面只有两个方向了,一个是ssh,一个是ftp服务,如果使用ssh,如果使用ssh,需要两个字典,一个是用户名,一个是password字典,这工作量太大了吧。。。靶机作者应该不会这么搞孩子吧(实际应用中,这确实很大概率是一个突破口,弱口令)。另一个方向就是ftp,ftp一样需要两个字典。难啊。
先大概对这两个服务进行下探测,看下是否服务存在版本漏洞。

在这里插入图片描述
使用msf寻找漏洞,发现没有对应版本的漏洞。靶机ftp版本为3.0

在这里插入图片描述
ssh依旧G。
下一步咋办呢,很烦,但想了下是否有什么东西忘了呢,ftp匿名登录。

在这里插入图片描述
啧啧,山重水复疑无路,柳暗花明又一村啊。找到突破口,ftp开启了匿名登录,并且共享文件夹下有一个url文件,先下载下来看下是什么。
在这里插入图片描述
url文件是一个可执行文件。既然是可执行文件,那就先执行下。

在这里插入图片描述
执行完后,上面提示“有时事情并不明显,发现元素36”感觉可能得逆向看下。
在这里插入图片描述
发现一串字符/sh4d0w$s,感觉像是web目录。

ssti漏洞利用

在这里插入图片描述
经过测试这是5000端口对应的目录地址。

在这里插入图片描述
看到这,我感觉这大概率是ssti漏洞了,但关键的一点是参数是什么?
那下一步就是ffuz大法,别忘了80端口页面显示 6 6 1337leet,这应该是生成的字典种子。
在这里插入图片描述

ffuz大法开启,使用ffuf工具。

在这里插入图片描述
找到了参数1333tt。上面ffuf工具的用法 $符号需要进行转义,因此前面加了转义符\。 -fs是用过滤回复的,将Response大小为8的过滤掉。
在这里插入图片描述
确定了这就是ssti漏洞,下一步上工具tplmap。
在这里插入图片描述
看到上面的ok,激动啊。
先反弹个shell吧。
在这里插入图片描述

获取普通用户权限

在这里插入图片描述

在这里插入图片描述
使用sudo -l 发现有可利用RCE代码执行漏洞。打开jail.php文件发现文件中有exec()函数,可以使用反弹shell获取kori用户权限。但发现禁止使用nc,system甚至bash。
查看下socat工具,发现可以使用。
在这里插入图片描述
在这里插入图片描述

获取高级用户权限

在这里插入图片描述
发现可以指定irida用户无密码执行。先将irida.apk复制到kori文件夹下,因为在kori文件夹下我们权限较高。

在这里插入图片描述
授予其它用户可以读写kori文件夹的权限。
在这里插入图片描述
直接复制到/kori目录下,发现文件所属依旧是irida。
在这里插入图片描述
发现将irida.apk复制到/kori目录下的test.apk中需要kori密码。

在这里插入图片描述
先在kori目录下创建一个irida.apk,然乎再进行复制即可。
将irida.apk下载下来使用python,使用python开启网络端口直接下载下来

python -m SimpleHTTPServer  8888

在这里插入图片描述
使用AndroidKiller工具进行反编译
在这里插入图片描述
编译完后,可以在代码页面右键查看查看源码功能进行查看。
在这里插入图片描述
此处可以看到eye.of.the.tiger.()是irida用户的密码,但登录错误,找到下载靶机的介绍出发现,可以删除一个.符号。那么密码就是eye.of.the.tiger()

在这里插入图片描述

获取root权限

登录成功,同样使用sudo -l查看用户信息,发现存在root无密码执行文件。
在这里插入图片描述
此处参数需要二进制。
在这里插入图片描述
随便填写一个字符串进行二进制后输出到oras.py文件的执行参数上,发现错误提示参数解码后会被python自带的exec函数进行执行。
在这里插入图片描述
经过测试,可以利用,下一步直接反弹shell会话即可。
在这里插入图片描述
获取到flag,结束。

总体来说,这个难度对我来讲还是相当可以的(本人菜鸡)。

参考资料

反弹shell原理和常见反弹shell方式:https://zhuanlan.zhihu.com/p/446210083
tplmap下载地址:https://github.com/epinna/tplmap
AndroidKiller下载地址:https://www.onlinedown.net/soft/1229634.htm
Vulnhub 靶场 ORASI: 1:https://www.cnblogs.com/sainet/p/16316274.html
orasi靶机下载地址:https://www.vulnhub.com/entry/orasi-1,660/

bigdogeggs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5000端口_Linux入门-端口和进程号
weixin_39907316的博客
11-27 2420
上课了1.由端口号查询PID号# netstat -nap|grep 端口号 比如已知目前端口5000被占用,如何查出哪个进程占用了。# netstat -nap|grep 5000 如果这个5000端口,刚好是当前普通用户所启动的进程,那么就可以直观看出进程PID如果这个5000端口,非当前普通用户所启动的进程,无法获取其他用户的进程PID所以执行此命令最好是root用户2.用PID查询端口号#...
PWN靶机环境 网络安全
05-23
PWN靶机环境
web渗透测试靶机(新手)
05-07
web渗透测试靶机(新手)
Vulnix.7z靶机
04-25
一个vulnhub上的靶机,因为网络原因,下载的特别慢,我下载好,上传上来,供大家学习。如果大家有更好的靶机,请私我。
vulnhub靶机实战-My-cmsms靶机
最新发布
09-29
vulnhub靶机实战-My-cmsms靶机
安装部署Web安全测试用的靶机
11-24
个人作业,希望有所帮助
Linux查看开放端口
天之城的博客
09-10 478
Linux查看开放端口 TCP端口 # netstat -ntlp UDP端口 # netstat -nupl
Flask 5000 端口被占用
永不言弃的博客
05-23 801
同理在docker部署过程中,如果端口被占用,比如 5432 端口以及被使用 一定是之前测试过程中使用到了 5432,一直没有被释放。注意:在工程文件中不建议使用该方法,这样会杀死所有正在使用的端口。其中:是使用5000端口应用的程序。2.使用以下指令关闭所有占用端口。方法1:停止该容器,再次创建。查找出所有使用5000端口。
Linux下在防火墙中开启端口
酒酿小圆子呀~
01-17 3749
(1) 查看所有开启的端口 firewall-cmd --list-ports (2) 开启5000端口 firewall-cmd --zone=public --add-port=5000/tcp --permanent (3) 重启防火墙,使其生效 firewall-cmd --reload
Port 5000 Used by Control Center in macOS Monterey (macOS Monterey中的控制中心使用的端口5000)
m0_46632148的博客
06-06 420
当更新到最新的macOS操作系统时,我注意到我的React开发服务器,我用React create-serve服务的是5000以外的端口,因为它已经在使用了。,我发现使用该端口的进程名为ControlCenter,它是一个本地的macOS应用程序。如果这种情况发生在你身上,即使你使用蛮力(并杀死)该应用程序,它也会自己重新启动。在我的笔记本电脑中,在这个端口上运行的进程原来是一个AirPlay服务器。你可以在系统偏好设置’共享’中停用它,并取消勾选AirPlay Receiver,以释放5000端口。
Hotel-Cacak:代码名称
05-28
卡卡克酒店 代号:“ Med i Orasi
oracle靶场,网络靶场_在线网络安全学习平台|合天智汇
weixin_42415451的博客
04-11 255
前言Shiro这个词最近在安全圈挺火的,我是第一次接触到这个,所以Apache发漏洞通告的时候还是给我整的有点懵。在看师傅们的复现时也感到有点吃力,因此整理了下关于这个漏洞的相关知识点,写了点自己的理解以供还未接触过这个知识点的同学们参考,同时也给今后复习留下参考。个人水平有限,可能存在理解偏差,请路过的大佬们指正。cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容...
Windows解决端口占用问题
HashFlag的博客
11-27 4080
1、打开命令窗口(以管理员身份运行) 以管理员方式打开cmd 2、查找所有运行的端口 我这里运行了一个项目127.0.0.1:5000,使用的是5000端口,以此来做示范 netstat -ano 下面是部分查询结果,包含了5000端口 C:\Users\wyl>netstat -ano 活动连接 协议 本地地址 外部地址 状态 PID TCP 0.0.0.0:135 0.0.0.0:0 .
靶机实战(Super-Mario-Host-v1.0.1)
weixin_45605313的博客
07-14 532
超级玛丽实验环境实验过程信息收集主机发现端口扫描服务发现目录扫描漏洞发现漏洞利用漏洞发现 实验环境 靶机:超级玛丽(Super-Mario-Host-v1.0.1) 测试机:kali(IP:192.168.186.128),win10 实验过程 信息收集 主机发现 netdiscover -I eth0 -r 192.168.186.0/24 nmap -sn 192.168.186.0/24 arp-scan -l ,arp-scan 192.168.186.0/24 端口扫描 masscan -p
网络端口号和协议号(大全)
weixin_46595570的博客
04-20 2万+
协议号,网络号
5000端口_新手小白的NAS之路:教你怎么搞定端口映射。
weixin_39710361的博客
11-27 4669
原文作者:liuxingjian自从入手NAS,很多都是从0开始接触,靠着自己的查找和摸索,搞懂了很多相关内容,但同时也浪费了自己的大量时间和精力,现在对自己摸索时间比较长的相关功能做下总结和描述,方便新手的理解,同时这些也是刚接触的人比较难弄懂和弄错,以及经常询问功能的问题。首先我们都知道访问设备是通过网址输入IP+端口,那这样输入的具体含义是怎么回事呢?如果我们把设备比作一栋大楼,里面有很多间...
常见端口及其服务
weixin_47763513的博客
10-04 3746
常见端口名称及服务
群晖修改默认5000、5001端口为80、443(更新系统有风险,紧急修复)
热门推荐
NasGG
01-27 2万+
群晖修改默认5000、5001端口为80、443 原文:http://tonylawrence.com/posts/unix/synology/freeing-port-80/ 内网访问群晖也要加端口,觉得麻烦,想将5000端口修改为80;5001端口修改为443。 一、 释放80、443端口占用 #ssh登陆nas sudo -i #切换至root用户 #检查端口占用情况 netstat -anp |grep 80 netstat -anp |grep 443 #能确定端口被nginx占用 cd /
查看5000端口被哪个进程占用
xiaomajv_zhao的博客
08-16 3218
sudo netstat -apn | grep 5000
doubletrouble靶机
08-29
doubletrouble靶机是一个用于渗透测试和漏洞挖掘的目标。它有两个不同的靶机地址。第一个地址是https://download.vulnhub.com/doubletrouble/doubletrouble.ova,可以下载一个ova文件来部署虚拟机。第二个地址是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值