渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

栏目: 编程工具 · 发布时间: 5年前

内容简介:大家好,靶机更新了爱写靶机实战的我又来了,文章最后有福利哦!!DC-1下载地址:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

前言

大家好,靶机更新了爱写靶机实战的我又来了,文章最后有福利哦!!

靶机下载安装

DC-1下载地址: https://pan.baidu.com/s/1BNwbssr5ezL6DP-_6AbB4w

Matrix2下载地址: https://pan.baidu.com/s/1hPqxVYwrC2rygeeAuurFMw

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

实战

DC-1:1入侵

下面开始第一步的征程了,我们先探测一下IP

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

靶机IP:172.16.24.46

继续使用nmap来开路

可以看到它开放了多个端口,我们看一下80端口是什么情况。。。

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

如图所示,是个 Drupal 的cms网站,

那么我们跑一下目录看一下吧

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

可以看到目录还是挺多的,其实没必要跑目录,我们只需要看一下 /robots.txt

确认一下Drupal版本

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

访问 /CHANGELOG.txt 出错,我们可以访问/UPGRADE.txt来确认升级情况一样能判断出版本… 哈哈哈

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

通过搜索发现该版本有个RCE漏洞,

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

这个小弟前面的文章出现过2次了,这次这里就不多做介绍了,直接拿 shell 吧,我还是一样使用msf完成

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

执行直接拿到shell,

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

拿到flag

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

其实这些不是小弟写这个靶机的重点,我们的重点是提权的骚思路

下一步我们提权,老规矩上传个提权辅助脚本看看

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

我们把关注点放在这里,如图:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

(注:这个也可以通过这个命令直接查看,命令:find / -perm -u=s -type f 2>/dev/null

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

)在提权的时候千万别忘记使用这个命令哦,有的时候有惊喜。。。。

其实小弟在这里被卡了一段时间,最后的突破口呢,我用到find的命令,

通过搜索find命令,发现可以带入命令,下面我来操作一遍

1.创建一个空文件 叫 anqke

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

直接使用命令: find anqke -exec ‘whoami’ ; (注:命令结尾这个“;”必须要加)

参考: https://www.cnblogs.com/aaronax/p/5618024.html

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

可以看到我们能直接带入命令,且是root权限,最后我们直接执行exp

find anqke -exec ‘/bin/sh’ ;

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

该靶机用find提权,小弟还是第一次见和使用(可能我low,大神们别喷),感觉肯定对大家以后实战中会有帮助,所以分析出来给大家!!

本靶机完!

Matrix2靶机入侵

该靶机的1 writeup,小弟投稿被pass了(工作人员:嘤嘤嘤),现在出2了但是没事小弟还是继续投稿!

言归正传,老规矩nmap开路

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

可以看到该靶机开放了很多端口,我们逐一查看吧

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

我们把目光放在 12322 端口,下面我们对他进行目录爆破

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵 拿到一个新文件

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

看到这个文件名,相信小伙伴们就已经知道怎么搞了,没错!以这种靶机的尿性,基本上这种就存在任意文件读取漏洞了,我们试一下

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

的确存在漏洞,因为它是nginx,所以我们看一下nginx配置文件

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

发现了 /var/www/p4ss/.htpasswd , 我们进行查看

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

拿到加密hash密文,我们保持起来本地破解看看

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

得到密码: Tr1n17y – admin

我们使用破解出来的密码成功登陆 1337 端口,如图:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

习惯性查看源代码,发现了注释里有个图片链接

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

我们下载来,看到这个小伙伴们肯定就知道了,图片隐写。。。 CTF常用套路

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

如上图中,我们使用 steghide 命令能分离被隐写的文件,但是需要我们输入密码,这里不知道大家有没有看到刚刚密码登陆成功后首页上 红色的 “n30”, 没错 密码就是它。。。然后我们就分离出来一个名为“n30.txt”,查看一下,如图:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

得到密码:P4$$w0rd

得到密码后,我们下一步不知道大家还记不记得12320端口。。。去12320端口登陆吧,

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

成功登陆,但是这个shell不怎么好用,会超时,所以我就弹了个shell回来

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

下面就是提权了,这里就省去小弟常见的下载运行提权插件了,直接讲个好用的吧,

我们先切换到该用户的/home目录下面,运行 ls -la,如图:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

看到很多隐藏文件,大家以后实战的时候,记得一定一定要关注关注 “.bash_history”

这里记录了这个用户执行过的历史命令,相信你肯定会感兴趣,如图:

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

是不是很惊喜?但是这个 “morpheus” 是什么东西,权限怎么样呢?

这里可以执行运行本文上篇靶机中用到的命令:

find / -perm -u=s -type f 2>/dev/null

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

下面那个…… 不好意思搞错了,再来(配音)

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

可以看到权限比较高。。(或者直接上传提权脚本,可以看到该程序所属权限)

然后我们就把执行那个命令复制来执行一下吧。。。

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

成功拿到root权限,然后就是拿flag了

渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵

本靶机完!!

福利

北京网御星云有限公司-广东办招人啦!!!! 现需多名销售精英、售前工程师、售后工程师、项目经理、安服人员,有意的请联系邮箱 panhj@leadsec.com.cn base地址:广州。 也可联系小弟WeChat(在小弟的前面几篇文章里找。。 贱笑表情) 谢谢您的观看和关注


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Blog Design Solutions

Blog Design Solutions

Richard Rutter、Andy Budd、Simon Collison、Chris J Davis、Michael Heilemann、Phil Sherry、David Powers、John Oxton / friendsofED / 2006-2-16 / USD 39.99

Blogging has moved rapidly from being a craze to become a core feature of the Internetfrom individuals sharing their thoughts with the world via online diaries, through fans talking about their favori......一起来看看 《Blog Design Solutions》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具