Vulnhub打靶集合

2023-09-13 | web安全

vulnhub之basic_pentesting_1

信息收集

nmap扫描

namp -sS 192.168.1.0/24

确认主机ip 192.168.1.131

使用-A参数扫一下具体的服务及版本

可以看到靶机是个ubuntu的系统开放了ftp和ssh

ftp使用的是ProFTPD 1.3.3.c版本

我们既然已知版本，可以先查看它有没有历史漏洞

渗透

首先启动msf

msfconsole

查找漏洞

search proftpd 1.3.3

找到了历史存在的洞

使用第三个漏洞攻击程序

show options查看需要设置的参数

使用set设置目标地址和payload

再查看payload参数设置lhost

设置成功后run一下

可以看到已经上线了，whoami一下是root权限

vulnhub之Lampiao

信息收集

nmap扫描网段，得到靶机ip为192.168.1.132

尝试-A全端口检测一下 nmap -A 192.168.1.132 -p 0-65535

发现三个端口，访问1898端口的web服务，类似于一个博客站点

扫描目录，发现robots.txt，访问

在robots.txt里发现了一个类似于版本更新日志的txt文件

访问一下，发现是Drupal的版本更新日志

渗透

使用msf检索Drupal的漏洞，并选择一个漏洞攻击程序进行设置

配置完成后run一下，漏洞利用成功

命令执行成功后，在sites/default/目录下发现铭感文件settings.php

cat一下，经过审计发现了数据库的账号密码，先记录一下

在home目录下发现还有一个用户tiago

尝试使用数据库的密码ssh连接tiago用户

成功登录

提权

查看权限发现是普通用户，sudo无法提权

查看内核版本符合脏牛提权的版本

尝试脏牛提权

在github下载脏牛提权利用程序

使用python在本地开启一个下载服务器

使用ssh在靶机下载解压压缩包

编译

执行./dcow提示root密码已被修改

su切换到root用户使用dirtyCowFun登录成功

、

vulnhub之lazysysadmin

信息收集

nmap扫描网段得到靶机ip及开放的服务端口

开放了445文件共享目录，使用enum4linux扫描SMB服务

发现允许空密码登录

共享了三个内容

使用kali的smb工具查看一下

下载deets.txt得到提示默认密码为12345

还看到了wordpress目录，进入查看下载配置文件，在配置文件中找到了数据库用户名和密码

继续进行信息收集，扫描网站目录：

dirb http://192.168.1.130

发现一些比较敏感的目录

渗透

访问发现wordpress目录下是一个个人博客站点

访问wp-admin，尝试使用已知密码进行登录

使用数据库的用户名密码成功登录

Admin

TogieMYSQL12345^^

找到主题修改页面，404.php修改成反弹shell的webshell

保存，监听4444端口

访问192.168.1.130/wordpress/wp-content/themes/twentyfifteen/404.php

成功拿到shell

进入python交互式：python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

进入home目录，发现togie用户，尝试已知密码12345成功登录

提权

但togie用户并不是root用户，我们还需要进一步提权

直接sudo -i提权即可

vulnhub之Narak

信息收集

首先nmap扫描192.168.1.0网段，发现该靶机

80端口是个网站，先扫描一波目录

dirb http://192.168.1.129

发现webdav服务（网络储存文件共享），与ftp类似

使用cadaver连接：cadaver http://192.168.1.129/webdav

需要用户名和密码

使用cewl工具爬取网站生成字典：cewl http://192.168.1.129 -w 1.txt

使用hydra进行爆破

hydra -L 1.txt -P 1.txt 192.168.1.129 http-get /webdav

得到用户名：yamdoot 密码：Swarg

渗透

再次连接共享服务：cadaver http://192.168.1.129/webdav

成功登陆后put一个webshell，功能是反弹shell

这个webshell会把shell反弹到kali的4444端口

nc监听本机4444端口，然后访问webdav服务，成功拿到shell

进入python交互式：python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

进入home目录下发现三个用户

在mnt目录发现一个sh脚本，cat后发现是BF编码

使用在线网站解码：https://www.splitbrain.org/services/ook

解码后得到一串字符，猜测可能是某个用户的密码

测试后发现是inferno用户的密码，ssh成功连接

在目录下拿到一个flag，但它并不是root用户

提权

使用motd提权拿到root权限

cd /etc/update-motd.d/

echo “echo ‘root:admin’sudo chpasswd”>>00-header

重新登录用户，切换root用户，密码为admin，成功登录

vulnhub之nasef1

信息收集

nmap探测存活主机

nmap -sS 192.168.1.0/24

确定靶机ip为192.168.1.133 且开放了ssh和http

访问web站点没发现什么，扫一下目录，dirb没扫出什么东西，换一个试一下

gobuster dir -u http://192.168.1.133/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip

扫描到可疑文件goodmath.txt

访问之后发现是一个私钥，用户名为agentr

渗透

下载保存到本地，chmod赋权600，使用私钥登录

密钥使用需要密码

使用john进行解密

locate ssh2john python /usr/share/john/ssh2john.py id_rsa.txt > rsacrack

john rsacrack

再次使用私钥登录，成功

提权

虽然登陆了，但用户不是root权限

上传linpeas工具，扫描

发现/etc/passwd文件可写

修改/etc/passwd文件，删除root用户的x，这样root用户密码就被清除了

执行su直接进入root用户