dpwwn:03

最新推荐文章于 2024-08-17 20:11:21 发布
最新推荐文章于 2024-08-17 20:11:21 发布
阅读量990 收藏 20
点赞数 21
分类专栏: Vulnhub 文章标签: 数据库 网络 安全 学习 网络安全 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/135720789
版权

靶场下载

https://download.vulnhub.com/dpwwn/dpwwn-03.zip

信息收集

# nmap -sn 192.168.1.0/24 -oN live.nmap       
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:18 CST
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 255 undergoing ARP Ping Scan
ARP Ping Scan Timing: About 7.84% done; ETC: 21:18 (0:00:00 remaining)
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00057s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00035s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.00029s latency).
MAC Address: 00:0C:29:62:66:03 (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00021s latency).
MAC Address: 00:50:56:F2:47:CF (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.

主机存活探测到目标靶机的IP地址为192.168.1.90

# nmap -sT --min-rate 10000 -p- 192.168.1.90 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:20 CST
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.00055s latency).
Not shown: 65533 filtered tcp ports (no-response)
PORT    STATE  SERVICE
22/tcp  open   ssh
161/tcp closed snmp
MAC Address: 00:0C:29:62:66:03 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 13.39 seconds

探测到开放的端口为22端口,显示161端口closed~ 但是下面还是探测了其服务的版本等信息:

# nmap -sT -sC -sV -O -p22,161 192.168.1.90 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:20 CST
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.0010s latency).

PORT    STATE  SERVICE VERSION
22/tcp  open   ssh     OpenSSH 7.9p1 Debian 10 (protocol 2.0)
| ssh-hostkey: 
|   2048 52:13:ac:ba:ef:86:74:8c:76:c4:47:fa:68:fd:fe:30 (RSA)
|   256 a4:ec:f3:10:8d:ec:41:e3:e7:e5:9e:0e:58:f5:ee:fb (ECDSA)
|_  256 e3:10:5e:f0:3e:b1:21:57:21:25:fd:27:d3:cc:fc:0b (ED25519)
161/tcp closed snmp
MAC Address: 00:0C:29:62:66:03 (VMware)
Aggressive OS guesses: Linux 5.1 (98%), Linux 3.10 - 4.11 (96%), Linux 3.2 - 4.9 (94%), Linux 3.16 - 4.6 (94%), Linux 5.0 - 5.4 (93%), Linux 2.6.32 - 3.13 (93%), Linux 2.6.39 (93%), Linux 4.10 (92%), Linux 2.6.22 - 2.6.36 (91%), Linux 3.10 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.32 seconds

可以看到openssh的版本为7.9 至于161端口还是显示关闭状态的! 进行udp端口的探测:

# nmap -sU --min-rate 10000 -p- 192.168.1.90 -oN UDP.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:21 CST
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.00044s latency).
Not shown: 65533 open|filtered udp ports (no-response)
PORT    STATE  SERVICE
22/udp  closed ssh
161/udp open   snmp
MAC Address: 00:0C:29:62:66:03 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 13.42 seconds

udp端口显示是开放了161端口的~

# nmap -sT --script=vuln -p22,161 192.168.1.90 -oN vuln.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:23 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.00053s latency).

PORT    STATE  SERVICE
22/tcp  open   ssh
161/tcp closed snmp
MAC Address: 00:0C:29:62:66:03 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 35.41 seconds

额~ 漏洞脚本是没什么信息的。一共就两个端口。肯定不是在22端口上直接突破,应该是在161端口上找到相关账号的信息,然后在22端口上立足!

渗透测试

至于161端口上存在什么样的漏洞,如何去测试161端口上的漏洞;只能是去Google一些资料,没有接触过161端口的漏洞;snmp默认团体名/弱口令漏洞及安全加固_snmp弱口令漏洞怎么解决-CSDN博客

找到了一篇文章里面提到了:在运行SNMP服务的设备上,如果管理员配置不当运行默认团体名/弱口令访问,将导致敏感信息泄露。其中还提到了SNMP默认弱口令是public/privicy

利用nmap进行弱口令的检测:

#找到snmp的弱口令
nmap -sU -p161 --script=snmp-brute 192.168.1.90      


Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-17 21:29 CST
Nmap scan report for 192.168.1.90 (192.168.1.90)
Host is up (0.0011s latency).

PORT    STATE SERVICE
161/udp open  snmp
| snmp-brute: 
|_  public - Valid credentials
MAC Address: 00:0C:29:62:66:03 (VMware

没问题,发现了“有效凭证!”public! 尝试获取系统信息:

nmap -sU -p161 --script=snmp-sysdescr 192.168.1.90

发现了目标靶机的系统信息为Linux 4.19.0版本 主机名为dpwwn-03,之后又看到文章提到了两个工具,分别是snmp-check和snmpwalk:

发现了一个用户是john!这里可以先去爆破一下了,虽然不知道后面能不能拿到密码等信息!这两个工具我都用了一下,但是我不知道得到的信息有什么用处,除了拿到了一个john用户以外!

初次等到snmp的漏洞,还是显得手足无措~ (这里其实我已经拿着去爆破了~)

爆破了15分钟没结果;一直我手工直接尝试成功~

先尝试了123456,不对;然后就尝试了一下john~ 成功!

来到提权阶段!

提权

确定我们打的靶标没错!id命令查看所在的组等相关组:

先看看当前的用户是不是具有sudo特权:

哦~ 来了 ,无需密码以root身份执行 /bin/sh /home/ss.sh 那么我们如果能够更改这个文件的话,就可以写提权脚本到这个文件中;

但是这个文件我们是没法更改的~ 查看该文件中的内容:

设置了环境变量 运行了samshthestack文件~ 该文件是做什么的?

利用file strings命令查看了这个文件是否存在一些敏感的字符串信息,貌似没什么信息,网上搜索了这个文件名:

好像是堆栈溢出,之后看到了john家目录下面的flag文件,也确定了提权之路:

就是对这个二进制文件进行操作了,应该就是CTF中的pwn~ 这里我不太会,先尝试有没有其他的提权之路:

后面上传了linpeas进行提权的信息枚举,也没什么其他的发现了;

suid权限也没有什么发现,定时任务也看了

回来看这个程序:

32位的ELF可执行文件~ (这里的提权思路还是比较明确的,就是sudo 以root权限去运行ss文件的时候,运行了elf的可执行文件,呢么这个文件就是root权限,如果这个可执行文件在运行的时候,能调动其他的脚本或者程序,那么被调用的程序也同样是root权限)

这里自己就没有去做提权了,个人认为前置知识比较多,所以没有尝试。

Y4y17
关注
专栏目录
dpwwn:01
weixin_44770698的博客
01-17 913
靶场练习-41
vulnhub-dpwwn03 通过教程
weixin_44155363的博客
01-03 327
最近在刷vulnhub靶场,偶然间做到了dpwwn系列的靶场,其dpwwn03靶场提权用的是程序栈溢出的漏洞,相对常规方法还是比较少见的,所以拿出来单独在这里研究下。 链接地址: https://www.freebuf.com/articles/web/259673.html 文章题目:Linux通过栈溢出进行提权实战(dpwwn03) ...
靶机渗透练习46-dpwwn-01
hirak0的博客
04-19 542
靶机描述 靶机地址:https://www.vulnhub.com/entry/dpwwn-1,342/ About Release Name: dpwwn-01 Date release: 04 Aug 2019 Author: Debashis Pal Series: dpwwn Description This boot2root is a linux based virtual machine and has been tested using VMware workstation 14. The
dpwwn-01靶机笔记
LINGX5的博客
08-10 984
我们通过nmap扫描发现目标开启了ssh,http,mysql服务。先对web站点进行了目录爆破,可惜一无所获。然后就陷入了实现爆破ssh,还是mysql的窘境,因为我们并没有有力的信息,去构造有价值与针对性的字典。因为mysql有默认的用户名root,我们选择对它尝试弱口令,成功登陆mysql,发现ssh凭据。利用ssh凭据,成功获得立足点,在mistic用户目录下发现logrot.sh定时任务脚本。[外链图片转存…(img-9WYEBIYP-1723281683945)]提权成功。
webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-15 247
【代码】webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构。
旅游网站
weixin_43213064的博客
08-16 798
【代码】springboot旅游网站
mysql介绍
weixin_57763462的博客
08-14 365
丰富的存储引擎:MySQL 提供了多种存储引擎,如 InnoDB、MyISAM、Memory 等,每种存储引擎都有其特定的应用场景和优势。多语言支持:MySQL 支持多种编程语言,包括 C、C++、Python、Java、Perl、PHP 等,并提供了相应的 API。安全性:MySQL 提供了灵活的权限和密码系统,支持基于主机的验证,并且所有的密码传输都采用加密形式,确保了数据的安全性。管理工具:MySQL 提供了丰富的管理工具,如命令行客户端、图形界面管理工具等,方便用户进行数据库的管理和维护。
MongoDB count 性能
galoiszhou的博客
08-14 608
在MongoDB 4.0之前,你可以继续使用count方法来统计文档数量。如果你在使用MongoDB 4.0或之后的版本,建议迁移到,以确保查询的准确性和性能。如果你仅需估算文档数量而不需要精确计数,是更高效的选择。
【Redis】Redis 初探:特性、应用场景与高并发架构演进之路
Hsusan的博客
08-13 927
在进⾏技术学习过程,由于⼤部分读者没有经历过⼀些⼤型系统的实际经验,导致⽆法从全局理解⼀些概念,所以本⽂以⼀个 “电⼦商务” 应⽤为例,介绍从⼀百个到千万级并发情况下服务端的架构的演进过程,同时列举出每个演进阶段会遇到的相关技术,让⼤家对架构的演进有⼀个整体的认知,⽅便⼤家对后续知识做深⼊学习时有⼀定的整体视野。
【Python使用】嘿马头条项目从到完整开发教程第1篇:简介,1. 内容【附代码文档】
一诺的博客
08-16 531
本教程的知识点为:简介 1. 内容 2. 目标 产品效果 ToutiaoWeb虚拟机使用说明 数据库 理解ORM 作用 思考: 使用ORM的方式选择 数据库 SQLAlchemy操作 1 新增 2 查询 all() 数据库 分布式ID 1 方案选择 2 头条 使用雪花算法 (代码 toutiao-backend/common/utils/snowflake) 数据库 Redis 1 Redis事务 基本事务指令 Python客户端操作 Git工用流 调试方法 JWT认证方案 JWT & JWS & JWE
SQL Server 时间算差值/常用函数
学习和分享
08-13 309
DATEDIFF()是计算时间差值的直接工具,而DATEADD()CONVERT()CAST()DATEPART()和EOMONTH()等函数则提供了额外的灵活性和控制能力,以满足更复杂的时间处理需求。
健身房管理系统
寒夜
08-13 844
【代码】springboot健身房管理系统
MySQL索引的性能优化
2302_79993788的博客
08-15 1022
数据库调优,我们的目标就是响应时间更快,吞吐量更大。利用宏观的监控工具和微观的日志分析可以帮我们快速找到调优的思路和方式。
MySQL系统变量innodb_autoinc_lock_mode
zxrhhm的博客
08-14 758
`innodb_autoinc_lock_mode` 是 MySQL InnoDB 存储引擎的一个系统变量,它控制着自增(AUTO_INCREMENT)值的锁定机制。
基于JAVA生产制造执行系统设计与实现(源码+论文+讲解等)
程序员阿龙的博客
08-13 1087
当下,如果 还依然使用纸质文档来记录并且管理相关信息,可能会出现很多问题,比如原始文件的丢失,因为采用纸质文档,很容易受潮或者怕火,不容易备份,需要花费大量的人员和资金来管理用纸质文档存储的信息,最重要的是数据出现问题寻找起来很麻烦,并且修改也困难,如果还这样操作会造成很大的资源浪费和经济损失。所以,对于本课题研究的产品生产制造信息的管理就需要有一款软件来代替手工操作,因此MES生产制造执行系统就应运而生。MES生产制造执行系统运用的工具包括Eclipse,Tomcat以及Navicat等。
企业架构MySQL读写分离
A1357924680_的博客
08-16 811
DAU : 2000 (每日活跃⽤户数) 之前业务是单台 MySQL 提供服务,使用多台MySQL数据库务器,降低单台压力,实现集群架构的稳定性和高可用性 数据的一致性 完整性 replication通过业务比对和分析发现,随着活跃用户数增多,读取数据的请求变多,故着重解决读取数据的压力。基于主从复制的基础上,常见的数据库负载均衡使用的是读写分离方式。在业务代码数据库的操作,不直接连接数据库,而是先请求到间件服务器(代理)由代理服务器,判断是读操作去从数据服务器,写操作去主数据服务器。
实训day21
最新发布
2201_75673097的博客
08-17 551
uid=997(mysql) gid=994(mysql) 组=994(mysql)2、为root账户刷新权限。
在 Docker 容器使用 GreatSQL VIP
老叶茶馆
08-13 459
GreatSQL Docker 镜像不支持在 Docker 使用 VIP 功能。原因如下:在 Docker ,无法用 systemd 方式来启动 GreatSQL。在打包时,也没有将 mysqld 程序文件属主改为 root,并加上 setcap 提权。因此,想要在 Docker 使用 GreatSQL VIP 的话,需要自行处理。下面介绍如何在 Docker 容器使用 GreatSQL ...
Linux下载卸载MySql
dys000000的博客
08-17 922
先进入数据库 再将user表的host状态根据root用户改为% 代表准许远程连接。# -uroot 登录账号是root -p代表的是密码。配置远程链接 可以在本地navicat链接数据库。临时的密码 没有办法查看密码的规则。大写的字母小写的字母数字特殊符号8位。每个人的默认密码都是不一样的。改完之后重新刷新一下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值