Vulnhub-HACKABLE: II渗透

文章目录

  • 一、前言
    • 1、靶机ip配置
    • 2、渗透目标
    • 3、渗透概括
  • 开始实战
    • 一、信息获取
    • 二、web目录爆破
    • 二、ftp传马
    • 四、获取shell
    • 五、md5解密
    • 六、提权

一、前言

由于在做靶机的时候,涉及到的渗透思路是非常的广泛,所以在写文章的时候都是挑重点来写,尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主
 如果不会导入Vulnhub靶机和配置网络环境的话,请点我直达发车文章!

 本文靶机下载连接-戳我直接下载!

1、靶机ip配置

  • Kali IP:192.168.241.4
  • 靶机IP:192.168.241.3靶机ip获取方式如下图
    Vulnhub-HACKABLE: II渗透_第1张图片

2、渗透目标

  • 获取到/root/目录下的flag文件

3、渗透概括

  1. ftp的使用
  2. web目录爆破
  3. 通过ftp给web传马
  4. md5解密
  5. python的sudo提权


开始实战

一、信息获取

使用nmap工具对靶机做基本的信息收集nmap -sS -sV -A -T4 -p- 靶机IP如下所示
Vulnhub-HACKABLE: II渗透_第2张图片
可以看到,开放的端口有三个21/ftp 22/ssh 80/http
22/sshssh可以直接pass掉了,这个版本基本上没有什么可利用的漏洞了,一般获取到了用户信息才使用这个

21/ftp根据nmap扫描出的信息可以该服务上面存在一个CALL.html文件,我们用匿名账户anonymous(密码任意) 登录该靶机的ftp尝试下载一下CALL.html文件
Vulnhub-HACKABLE: II渗透_第3张图片

看一下CALL.html里面的内容
意思是做好接到电话的准备,有点懵,还不知道这个是什么意思,我们继续找找其他的线索
Vulnhub-HACKABLE: II渗透_第4张图片

80/http基本上大部分的漏洞都是存在于web服务上,我们看看该靶机的web服务
发现是一个apache的默认页面,我们f12打开网站源码,发下了一个信息,提到了gobusterdirb两个工具
Vulnhub-HACKABLE: II渗透_第5张图片

二、web目录爆破

那我们就使用gobuster工具对该网站的目录爆一下

gobuster dir -u 192.168.241.3/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x jpg,php,txt,html

发现一个/files目录
Vulnhub-HACKABLE: II渗透_第6张图片

我们尝试访问/files目录,发现是一个目录浏览页面,并且也有一个CALL.html文件
Vulnhub-HACKABLE: II渗透_第7张图片

我们继续点开CALL.html文件看看,跟我们刚刚ftp下载的那个文件内容一样
Vulnhub-HACKABLE: II渗透_第8张图片

二、ftp传马

大腿一拍!恍然大悟,既然/files目录里面的文件和ftp服务里面的文件是一样的,那有没有可能ftp的目录和/files的目录是同一个目录呢?
我们尝试使用给该靶机的ftp服务上传文件测试一下,如下图
Vulnhub-HACKABLE: II渗透_第9张图片

我们再次访问/files目录,发现我们上传的文件已经长传上去了
Vulnhub-HACKABLE: II渗透_第10张图片

那这样就好办了,我们可以上传一个php木马来获取shell
我们通过如下操作,将kali给我们准备好的php马复制一份下来

cp /usr/share/webshells/php/php-reverse-shell.php getShell.php

Vulnhub-HACKABLE: II渗透_第11张图片

我们再把这个木马文件的内容改一下,将ip改为自己kali的ip,port处可以更具自己的需求更改,但是要保证和nc监听的端口一致
Vulnhub-HACKABLE: II渗透_第12张图片

我们再次登录该靶机的ftp服务,并且将我们的木马getshell.php文件上传
Vulnhub-HACKABLE: II渗透_第13张图片

四、获取shell

上传完之后使用nc监听一下1234端口
在这里插入图片描述

我们可以看到我们的getshell.php木马文件成功上传,我们点击一下,页面成为一直在加载的状态就成功了
Vulnhub-HACKABLE: II渗透_第14张图片

可以发现我们的nc此时已经监听到靶机的shell,我们使用python3 -c 'import pty;pty.spawn("/bin/bash")'命令对shell进行升级
Vulnhub-HACKABLE: II渗透_第15张图片

我们切换到/home目录看看
发现了一个important.txt文件,查看里面的内容,告诉我们尝试运行一下根目录的.runme.sh看看数据
Vulnhub-HACKABLE: II渗透_第16张图片

我们切换到根目录,看看这个.runme.sh文件里面的内容
给了一个认证密钥trolled和一个md5值cf4c2232354952690368f1b3dfdfb24d
Vulnhub-HACKABLE: II渗透_第17张图片

五、md5解密

由于密钥登陆不上去,我们尝试去cmd5(戳我直达)解密一下这个md5值
解密出的结果为onion
Vulnhub-HACKABLE: II渗透_第18张图片

使用onion作为密码成功登录shrek用户
在这里插入图片描述

我们到家目录去,获取到第一个flag文件user.txt
Vulnhub-HACKABLE: II渗透_第19张图片

六、提权

sduo -l看一下我们的sudo权限,发现了python3.5可以不用使用密码直接以root的权限执行
Vulnhub-HACKABLE: II渗透_第20张图片

我们构造提权语句,如下,就可以获取到root权限

sudo /usr/bin/python3.5 -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

我们切换到/root目录,找到最终的flag文件root.txt,至此渗透完成
Vulnhub-HACKABLE: II渗透_第21张图片

你可能感兴趣的:(Vulnhub靶机渗透,网络安全,计算机网络,安全威胁分析,安全,网络)