driftingblue-4靶机渗透测试
环境配置:
靶机下载地址:**https://download.vulnhub.com//driftingblues/driftingblues4_vh.ova
靶机IP:172.16.10.101
攻击机:172.16.10.118
渗透过程:
首先使用命令nmap -sV -p- 172.16.10.101对靶机进行一个初步扫描,查看开启了哪些端口
发现开启了80,22,21三个端口,首先尝试用anonymous(匿名用户)尝试登陆靶机的ftp服务,发现登陆失败*
*
*然后访问靶机的80端口*
*发现靶机的首页并没有什么内容,然后按Ctrl+U组合键查看页面源代码或者按F12*
*发现首页隐藏了一段不知道什么编码的字符串,首先猜测为base64加密,尝试对其进行解密*
*经过四次解密,发现这段密文最终解密为一个txt的文件名,访问这个文件*
*好像采用的是和之前一个靶机一样的一种加密方式,尝试对其进行解密.*
解密完之后是一张图片的文件名**
*访问这张图片,发现是一个二维码
*猜测需要破解这个二维码然后才能进行下一步,通过在线工具进行破解二维码.得到一个域名*https://i.imgur.com/a4JjS76.png
*然后访问这个域名,访问这个域名的时候需要挂外网的VPN
*发现图片内容大致信息为很多用户名(我也不知道为什么会有两个被打码),然后将图片中的用户名保存在user.txt文件中,尝试对靶机开启的两个服务进行爆破,字典为kali自带的rockyou.txt文件
*爆破使用命令
hydra -L user.txt -P /usr/share/wordlist/rockyou.txt 172.16.10.101 ftp
hydra -L user.txt -P /usr/share/wordlist/rockyou.txt 172.16.10.101 ssh
解压rockyou.txt.tar.gzgunzip /usr/share/wordlist/rockyou.txt.tar.gz
*其中ssh并没有任何收获,但是爆破出来了ftp的用户名和密码,使用这个账户和密码进行getshell*
登陆成功,并且发现用户hubert的家目录我们拥有满权限
*然后尝试和上一台靶机driftingblue-3一样,使用ssh免密码登陆.首先创建.ssh目录,然后将本机的authorized_keys上传进入靶机
*首先使用ssh-keygen生成密钥,然后*cat id_rsa.pub > authorized_keys,之后上传至靶机*
*
*然后直接用ssh进行登陆,成功进入靶机
提权root
首先查找有suid权限的命令.find / -user root -perm -4000 2>/dev/null
*和上一个靶机一样,有getinfo,同样可以使用driftingblues-3靶机中提权方法进行提权.getinfo提权方法详情请查看鄙人之前的一篇文章也就是关于我渗透driftingblues-3靶机这档事中查看*
那么每个靶机总有些其他提权方法吧.然后我就在hubert的家目录找到了一个py的文件,并且是root权限的.*
*
*发现执行的命令为向/tmp/backdoor_testing文件中增加1,猜测是一个定时执行的文件,查看/tmp/backdoor_testing文件,等待一会观察文件的变化
*发现确实为定时执行emergency.py文件,那么这个靶机的提权思路大概为修改emergenc.py文件完成提权至root用户
尝试将1.py覆盖掉原来的emergency.py,发现不行,权限不够,
*但是用nano进行修改文件,并且保存为emergency.pyM,然后再尝试进行覆盖
*发现覆盖成功,然后攻击机监听1234端口
成功的收到反弹过来的shell,并且权限是root.
总结
这个靶机系列还是依旧的给力嗷,那么咱们就下一个靶机driftingblues5再见!!!
一个平常的下午,南辰geigei突然来了句fofa上dvwa外网靶场好多靶子打开fofa搜索了一下dvwa两千多条,好家伙正好玩一下。 直接开干好吧。 首先定位到dvwa的title信息, 从里面的各个title信息我这边定位到了Login :: Damn V…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论