CTF之Five86-1靶机渗透实战

靶机地址:http://www.vulnhub.com/entry/five86-1,417/

技术点

  • opennetadmin v18.1.1RCE

    • searchsploit

    • github搜索exp

  • 破解Linux中经过HASH加密的密码

    • crunch生成字典

    • johnhashcat破解密码

    • hash-identifier查看HASH类型

  • SSH免密登陆

    • 公钥复制为authorized_keys

  • Linux查看当前用户权限可读文件和可执行命令

    • 查看当前用户权限可读文件find / -type f -user www-data

    • 可执行命令sudo -l

目标发现

nmap -sP 参数使用 ping 扫描局域网主机,目的地址为 192.168.56.5

nmap -sS -A -v 192.168.56.5 看一下详细的扫描结果 -sS 是半开放扫描,-A 是进行操作系统指纹和版本检测,-v 输出详细情况

可以看到开放了 22、80、10000 三个端口,并且 80 端口存在 robots.txt 和路径 /ona

漏洞发现与利用

访问http://192.168.56.5是个空白页面,然后去访问 /ona,可以看到是 opennetadmin 的管理页面,并且版本是 18.1.1

v18.1.1opennetadmin是存在RCE漏洞的,在github找个exp打过去就可以,https://github.com/amriunix/ona-rce

或者是使用 searchsploit ,不过这里有个坑点,就是要对这个bash脚本进行转换格式,否则会报错,使用dos2unix 47691.sh这个命令,而且这里的shell不能转成TTY

下面的问题就是如何进行提权了,经过一番测试,发现这里无法执行的命令是没有回显的,并且不能执行cd命令,但是可以使用lscat命令

这里肯定是有权限控制的,可以使用find / -type f -user www-data命令查看这个用户可以读取的文件,除了/proc 就是/var/www/html/reports/.htaccess/var/log/ona.log

读取var/www/html/reports/.htaccess可以找到AuthUserFile的路径/var/www/.htpasswd

读取这个文件如下,可以得到用户名douglas和HASH的密码$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1,给的提示是只包含aefhrt的十个字符

douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1# To make things slightly less painful (a standard dictionary will likely fail),# use the following character set for this 10 character password: aefhrt

先用hash-identifier看一下是哪个HASH,结果 hash -type : [+] MD5(APR)

然后使用crunch生成对应的字典,命令格式crunch <min-len> <max-len> [charset string] [options],这里生成只包含aefhrt的10个字符,就可以使用如下命令crunch 10 10 aefhrt -o pass.txt,更多的介绍可以看Linux下的字典生成工具Crunchcrunch命令详解

最后就要用大名鼎鼎的hashcat去破解这个HASH,命令格式hashcat [options]... hash|hashfile|hccapxfile [dictionary|mask|directory]...,这里使用的命令为hashcat -m 1600 -a 0 -o res hash.txt pass.txt

-m是HASH类别,-a是攻击方式,-o是输出结果,更多的参数可以参考Hashcat密码破解攻略。这里在kali里面运行一直报错,就转移到wsl2里面了,命令hashcat -m 1600 -a 0 -o res hash.txt pass.txt --force

最终密码为 fatherrrrr

或者这里也可以使用john来进行破解john --wordlist=pass.txt hash.txt,但是速度可能有丶问题

使用ssh连接ssh douglas@192.168.56.5

这里是个TTY,但还是存在权限控制,使用sudo -l看一下可以使用什么命令,结果是(jen) NOPASSWD: /bin/cp,这里就有点奇怪了,douglas可以用jen的身份运行cp命令

先去访问一下home目录,发现douglasjen这两个用户,但是只能用jencp命令,且没有jen的密码

值得注意的是,如果jen用户下的/home/jen/.ssh/authorized_keys包含douglas的公钥,那就可以用douglasid_rsa文件登陆jen的ssh,也即免密登陆jen的ssh。这里复制到/tmp目录下是因为jen没有权限访问douglas目录下的文件

cp .ssh/id_rsa.pub /tmp/authorized_keyschmod 777 /tmp/authorized_keys sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

然后用ssh连接ssh -i id_rsa jen@127.0.0.1

成功登陆jen,看到提示mail,还是先执行echo $(find / -type f -user jen) > 1.txt 看一下,有一个/var/mail/jen的文件可以读取

或者这里直接输入mail的命令也可以看到

读取一下,其内容如下

关键词:change Moss's passwordhis password is now Fire!Fire!

接着ssh连接moss用户ssh moss@127.0.0.1

在当前目录发现了一个隐藏目录.games,访问后发现一个root权限的二进制文件upyourgame

运行之后就发现自己神奇的变成root用户辣

最后,flag在/root中,为8f3b38dd95eccf600593da4522251746

彩蛋时刻,其实在拿到douglas的密码之后就可以用虚拟机登陆,然后操作,这里是用的moss的账号密码,也是同样的效果

相关实验:VulnHub渗透测试实战靶场Node 1.0 (Node 1.0 是一个难度为中等的Boot2root/CTF挑战,靶场环境最初由 HackTheBox 创建,实验目的是获取两个flag)

(0)

相关推荐

  • 第42天:Python paramiko 模块

    paramiko 模块 paramiko 是一个用 Python 语言编写的.遵循 SSH2 协议.支持以加密和认证方式进行连接远程服务器的模块.改模块可以对远程服务器进行一些命令或文件操作. 安装 ...

  • python实现批量访问网址与获得linux服务器时间(有缩进格式例程)

    一.利用python批量测试网站是否可正常被访问 应用场景:当有大量网站需要检测是否能正常打开时,可以采用此方式: import requests#创建函数netcheck,传入参数为url,即需要被 ...

  • Vulnhub DC-2靶机思路分析

    DC-2(入门) 关于Vulnhub Vulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试虚拟机下载. 新手入门DC-2: 下载地址: https://www.vulnhub.c ...

  • vulnhub之Coffee Addicts: 1靶场writeup

    0x01 Introduction 虚拟机下载页面:https://www.vulnhub.com/entry/coffee-addicts-1,699/ Description Our coffee ...

  • Five86-2靶机渗透实战

    技术点总结 · 对WordPress网站的渗透 – wpscan · WordPress中IEAC插件的RCE漏洞 – WordPress插件IEAC漏洞分析及组合利用尝试 · tcpdump的使用 ...

  • 【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)

    本实战案例非常适合练手,从sql注入.后台管理员登录.上传绕过.webshell.服务器权限,一套完成的渗透流程. 后续将会对此站做后渗透测试. 本文章技术仅用于渗透安全测试. 涉及知识点: 1.寻找 ...

  • 关于Swagger-UI下的渗透实战

    文章作者:M1kh 博客链接:https://blog.m1kh.com/index.php/archives/403/ 前言 最近在测试时频繁遇到Swagger UI,趁着有空,就记录下. 如何发现 ...

  • 渗透实战 | 从测试后台到生产数据库

    0x00 前言 0x01 外部打点 首先拿到手的是一个域名A.com,常规收集一下子域名,收集到很多,这里只列出到最后发现是对项目有帮助的:www.A.com和mysql.A.com,毕竟渗透测试是在 ...

  • FristiLeaks v1.3靶机渗透

    靶机下载地址: https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova.torrent https://download.vulnhu ...

  • 实战讲解内网渗透思路

    声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,如需转载,联系开白.请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众 ...

  • 记一次PHP渗透测试实战教程

    0x01前言 在渗透测试过程中,开发不可能每一次都将结果输出到页面上,也就是漏洞无回显的情况,那么在这种情况下,我们可以通过dnslog判断漏洞存在,或者通过起一个python的http服务来判断,方 ...

  • 记一次CTF实战练习(RE/PWN)

    这是Hgame_CTF第二周的题目,一共有四周.相对来说,比第一周难(HgameCTF(week1)-RE,PWN题解析).这次的有一道逆向考点也挺有意思,得深入了解AES的CBC加密模式才能解题.还 ...

  • 瑞典两栖作战部队实战演习 模拟敌方机降渗透 快速集结进行反击

    近日,瑞典两栖作战部队进行"Swenex 19",展示了他们的训练成果. 瑞典与丹麦.德国.波兰.俄罗斯.立陶宛.拉脱维亚和爱沙尼亚隔海相望,海岸线长7624千米.要求部队有很好的 ...