当前位置:首页 > 黑客服务 > 正文内容

cybox:1.1靶机练习

访客4年前 (2021-04-18)黑客服务599

cybox:1.1靶机练习

网络结构:

环境搭建平台为VMware15,网络为nat模式,网段192.168.1.0/24

网络由攻击机kali、靶机组成

靶机ip:192.168.1.141

kali linux ip:192.168.1.137

信息收集:

主机发现:

下图中192.168.1.1为VMnet8网卡地址,1.3位网关地址,1.137为kali地址,因此判断目标靶机地址为192.168.1.141

端口服务扫描:

靶机开启了80和443端口,访问一下看看

直接访问ip后是一个web页面

拖到页面最下方可以看到一个域名

爆破目录:

爆破一下目录

同时也使用dirbuster爆破一下详细页面,以取得更多的信息

依次访问dirb爆出的目录,发现assets目录下存放了些css、js文件

/cgi/bin目录无访问权限,/phpadmin目录只允许本地访问

dirbuster爆破结果也出来了,与dirb扫出的结果相差不大,此时并没有发现到什么有价值的页面。

此时我们甚至都没有找到真正提供服务的web页面,我们扫描端口时可以看到目标机器开放了ftp服务,还开放了pop3、imap,还提供邮件服务,很明显目标机器有一个较复杂的网站提供服务,但我们的扫描结果并不相符,说明爆破姿势不对

之前访问首页的时候看到了一个域名cybox.company,我们将其添加进hosts文件,尝试再次扫描一下

这次我们使用gobuster进行扫描,gobuster是一款基于go语言的目录/文件和DNS爆破工具,可以对目录、文件、DNS和VHost等对象进行暴力破解攻击,下载链接https://github.com/OJ/gobuster,kali下可以直接apt-get install gobuster进行安装

扫描后,可以看到,有了我们之前并未爆破出的页面

依次访问各页面

dev.cybox.company是一个PHPinfo

ftp.cybox.company是一个ftp页面,目测实现文件传输功能,需要验证用户名密码

webmail.cybox.company是一个邮箱登录页面

register.cybox.company是一个创建用户页面,尝试创建后直接显示创建成功,也并没有提示输入密码等信息,直接给了一个与用户名相同的密码,暂时不知道是创建了什么用户

monitor.cybox.company访问后跳转到一个登录页面,下面两个链接可以跳转到一个注册页面,以及一个密码找回

漏洞挖掘:

在上面这个页面,注册一个用户登录试一下

登录后发现并没有什么实际功能,只有一个创建条目记录时间的,不知道有什么作用

这里退出登录,试一下未注册用户,发现不存在的用户登录会直接提示用户不存在,这里可以试一下有无admin用户

尝试猜解管理员的用户名,因为登录页面提供密码修改,可以试试能不能越权修改密码,此处发现存在一个admin@cybox.company,显示密码错误,并没有显示用户不存在,先记下,一会看看能不能改

点击忘记密码,会跳转到一个发送链接的页面,这里是将修改链接发送到邮箱了,应该就是我们刚刚看到的那个邮箱的登录界面

到邮箱登录页面webmail,登录,发现无法登录,一直显示密码用户名不匹配,说明两边的用户不互通,但我们这时还有一个之前的register.cybox.company/目录,用它创建一个同名用户aaa

之后再到webmail登录,登录成功,可以看到我们之前接收到的修改密码的邮件,里面有个修改链接

点进去,跳转到一个修改密码页面,我们用burp抓下包,把邮箱改成admin的,看看能不能通过改包来越权修改admin用户的密码

点击放包,直接跳转回了登录页面,尝试登录admin用户,登录成功,看来并没有什么验证

点进Admin panel,看一下管理页面,结果,显示开发中

方法总比困难多,右键查看页面代码,可以看到,这里包含进来一个php页面

我们可以尝试文件包含,包含一个/etc/passwd文件测试一下,包含成功,此处存在文件包含漏洞

然后可以通过日志文件反弹一个shell,apache的日志目录为/opt/bitnami/apache2/logs/,请求日志文件为access_log,错误日志文件为error_log,我们包含请求日志看一下,可以看到,这是ftp页面的请求日志

我们转到ftp页面

打开burp抓包,刷新页面,拦一个包下来,User-Agent改成cmd命令的php代码

发包,然后测试一下,测试成功,没有问题

制作反弹shell

kali端监听443端口(这里选取443是因为经测试此靶机只允许通往部分端口的数据包进出)

监听好端口后,web页面敲击回车,成功反弹shell,拿到了一个低权限的shell

权限提升:

首先查找有s权限的文件,只看非系统文件,此处需要审计代码,可以看到,在/opt目录下有一个registerlauncher

在我们查看此文件内容时可以发现它调用了另一个/opt目录下的文件register,注意此处直接用cat查看文件会乱码,需要用strings转化字符串

在查看register文件内容,发现这是一个可以创建用户的文件

实际就是实现了那个register页面的功能,测试之前创建的aaa用户,此处可以登录

首先取得一个交互shell

然后尝试登录aaa,成功

试一下能不能切换root,失败,提示我们aaa不再sudoers文件中

另外此处我们无权限查看sudoers文件,但应该是有用户持有切换权限的,这里就需要试了,本来想写一个简单的小脚本来代替人工的,但考虑到我们还要在register页面创建新用户,自动化也没有什么太大的意义,所幸并不难猜,用户名起为sudo即可

创建完之后切换用户sudo,与之前一样,密码和用户名一致,即可切换root用户,至此提权完毕

在root的家目录下可以看到一个root.txt,查看一下,是个flag

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/105260.html

分享给朋友:

“cybox:1.1靶机练习” 的相关文章

洗米华被抓(沙美华最近怎么了)

据中国电子商务研究中心2021年11月26日23:49:12的最新发布,微博网友@魔鬼管理学 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,洗米华被抓后来我换了俱乐部。。。 1.洗米华出什么事了...

贾秀东个人资料简介(简历及图片)

贾秀东人物概况 本页面提供了贾秀东个人资料简介(简历及图片),贾秀东是谁?贾秀东个人简介资料完整设计了网页求职找工作编辑个人简历作品所需要的贾秀东网站常用模板元素,不保证贾秀东人物数据真实,任何问题请联系管理员调整。 贾秀东图片 贾秀东个人资料简介 贾秀东,中国国际问题研究所特聘研究员。1...

吃鸡鸭的屁股会有病吗?我非常爱吃鸡鸭的屁股,但经常吃会有病吗?另

吃鸡鸭的屁股会有病吗?我非常爱吃鸡鸭的屁股,但经常吃会有病吗?另 鸡鸭的肛门附近组织,布满大大小小的腺体,各类秽物与毒素都在这些腺体囤积;鸡鸭的肛门也有非常高密度的大肠杆菌,所以鸡鸭的屁股不是少吃的问题,而是不能吃.吃得少可能没觉出怎样,多了问题就显出来了.而且鸡鸭屁股的大肠杆菌会随着蛋生出来的时...

身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)

一、身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)方法总结 1、黑客通过手身份姓名能否窃取别人银行卡里。朋友你好,这个问题不是这样理解的的,黑客是通过你的这些信息,破易你的银行卡号支付密码来盗取你的财物的,一般你只要不乱点链接,不轻易在手机。黑客控制了手机,窃取了身份证号码手机号姓名等所有...

小麦价格的走势图 「2019小麦价格最新行情走势」

小麦价格走势行情分析,近期11月20日小麦价格走势,显示今年我国小麦产量略有增加。 5月,尽管近期北京市场面粉价格略有上升.2008年小麦最低收购价格水平,今年国家统计是增产,市场粮源供应格局偏紧/10年度芝加哥期货交易所,粮食企业手中 去那儿看看http。 河南小麦价格2010年12月21日走势参...

鸡业行情网今日鸡价,鸡业行情网下载安装

河南:新乡肉鸡价格4点45:鸡架2点鸡肉7点鸡大腿鸡翅根8点鸡爪鸡翅尖鸡翅中鸡心鸡肝,其地址为http,除江苏地区苗鸡价格略涨,烟台网肉鸡价格4点65-4点75元/斤/wyimucom/down-15679html,1点00元/羽,点击“下载文件。以市斤为单位/羽 菏泽鸡苗价格3点90-4点30元/...

评论列表

酒奴棕眸
3年前 (2022-05-29)

看到一个root.txt,查看一下,是个flag

孤央鸢栀
3年前 (2022-05-29)

linux ip:192.168.1.137信息收集:主机发现:下图中192.168.1.1为VMnet8网卡地址,1.3位网关地址,1.137为kali地址,因此判断目标靶机地址为192.16

馥妴念稚
3年前 (2022-05-28)

uster爆破一下详细页面,以取得更多的信息依次访问dirb爆出的目录,发现assets目录下存放了些css、js文件/cgi/bin目录无访问权限,/phpadmin目录只允许本地访问dirbuster爆破结果也出来了,与dirb扫出的结果相差不大,此时并没有发现到什么有价值

鸠骨绿脊
3年前 (2022-05-29)

php页面我们可以尝试文件包含,包含一个/etc/passwd文件测试一下,包含成功,此处存在文件包含漏洞然后可以通过日志文件反弹一个shell,apache的日志目录为/opt/bitnami/ap

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。