Vulnhub Bravery靶机 Walkthrough

这篇具有很好参考价值的文章主要介绍了Vulnhub Bravery靶机 Walkthrough。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Bravery

Recon

使用netdiscover对本地网络进行arp扫描。

 ┌──(kali㉿kali)-[~]
└─$ sudo netdiscover -r 192.168.80.0/24
 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                         
 
 5 Captured ARP Req/Rep packets, from 5 hosts.   Total size: 300                                                                                                
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 192.168.80.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                                 
 192.168.80.2    00:50:56:ed:65:ac      1      60  VMware, Inc.                                                                                                 
 192.168.80.131  00:0c:29:5a:0f:b5      1      60  VMware, Inc.                                                                                                 
 192.168.80.133  00:0c:29:b9:af:ac      1      60  VMware, Inc.                                                                                                 
 192.168.80.254  00:50:56:fd:b9:5a      1      60  VMware, Inc.  
┌──(kali㉿kali)-[~]
└─$ sudo nmap -sS -p- -sV 192.168.80.131 
Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-07 00:49 EDT
Nmap scan report for 192.168.80.131
Host is up (0.0010s latency).
Not shown: 65522 closed tcp ports (reset)
PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         OpenSSH 7.4 (protocol 2.0)
53/tcp    open  domain      dnsmasq 2.76
80/tcp    open  http        Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)
111/tcp   open  rpcbind     2-4 (RPC #100000)
139/tcp   open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
443/tcp   open  ssl/http    Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)
445/tcp   open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
2049/tcp  open  nfs_acl     3 (RPC #100227)
3306/tcp  open  mysql       MariaDB (unauthorized)
8080/tcp  open  http        nginx 1.12.2
20048/tcp open  mountd      1-3 (RPC #100005)
37985/tcp open  status      1 (RPC #100024)
44626/tcp open  nlockmgr    1-4 (RPC #100021)
MAC Address: 00:0C:29:5A:0F:B5 (VMware)
Service Info: Host: BRAVERY

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.52 seconds

发现目标靶机开启了DNS、HTTP、HTTPS和Samba、NFS等一系列的服务。

Process

我们首先发现了NFS这个有趣的服务,我们直接尝试挂载到本地。

┌──(kali㉿kali)-[~/Labs/Bravery]
└─$ sudo mount -t nfs 192.168.80.131:/ nfs

┌──(kali㉿kali)-[~/…/Bravery/nfs/var/nfsshare]
└─$ ls
discovery  enumeration  explore  itinerary  password.txt  qwertyuioplkjhgfdsazxcvbnm  README.txt

其中的内容,大部分没有什么作用,但是我们关注到一个奇怪的文件(此处埋下伏笔)。

┌──(kali㉿kali)-[~/…/Bravery/nfs/var/nfsshare]
└─$ cat qwertyuioplkjhgfdsazxcvbnm 
Sometimes, the answer you seek may be right before your very eyes.

NFS中有效的内容不多,此时将我们的目光放到Samba上,目标为Linux机器,要想枚举目标的Samba信息,我们有个得力的工具enum4linux,工具的详细信息。

通过enum4linux工具的输出,我们能够获得Linux主机上的用户和共享文件夹(下为部分内容)。

======================================( Users on 192.168.80.131 )======================================
                                                                                                                                       
index: 0x1 RID: 0x3e8 acb: 0x00000010 Account: david    Name: david     Desc:                                                                                    
index: 0x2 RID: 0x3e9 acb: 0x00000010 Account: rick     Name:   Desc: 

user:[david] rid:[0x3e8]
user:[rick] rid:[0x3e9]

 ================================( Share Enumeration on 192.168.80.131 )================================
        Sharename       Type      Comment
        ---------       ----      -------
        anonymous       Disk      
        secured         Disk      
        IPC$            IPC       IPC Service (Samba Server 4.7.1)

我们获得了用户david和rick,以及共享文件夹anonymous和secured。我们首先通过smbclient工具访问共享文件夹anonymous。

┌──(kali㉿kali)-[~/Labs/Bravery]
└─$ smbclient //192.168.80.131/anonymous -U %     
Try "help" to get a list of possible commands.
smb: \> dir
  .                                   D        0  Fri Sep 28 09:01:35 2018
  ..                                  D        0  Thu Jun 14 12:30:39 2018
  patrick's folder                    D        0  Fri Sep 28 08:38:27 2018
  qiu's folder                        D        0  Fri Sep 28 09:27:20 2018
  genevieve's folder                  D        0  Fri Sep 28 09:08:31 2018
  david's folder                      D        0  Tue Dec 25 21:19:51 2018
  kenny's folder                      D        0  Fri Sep 28 08:52:49 2018
  qinyi's folder                      D        0  Fri Sep 28 08:45:22 2018
  sara's folder                       D        0  Fri Sep 28 09:34:23 2018
  readme.txt                          N      489  Fri Sep 28 09:54:03 2018

  17811456 blocks of size 1024. 12839656 blocks available

我们获得了一部分用户和readme.txt,但这些文件夹并没有实际的作用。readme.txt只告诉我们这个samba共享系统可能即将被替换到Sharepoint。那么我们就尝试访问另一个secured文件夹,此时之前埋下的伏笔就起到了作用,它是david账户的密码。在文件夹中我们发现了三个文件。

┌──(kali㉿kali)-[~/Labs/Bravery/smbd]
└─$ cat david.txt 
I have concerns over how the developers are designing their webpage. The use of "developmentsecretpage" is too long and unwieldy. We should cut short the addresses in our local domain.

1. Reminder to tell Patrick to replace "developmentsecretpage" with "devops".

2. Request the intern to adjust her Favourites to http://<developmentIPandport>/devops/directortestpagev1.php.

david.txt文件也是一个伏笔,不过这个靶机无关。其中最为关键的是genevieve.txt文件。其中有一个url值得我们关注。

┌──(kali㉿kali)-[~/Labs/Bravery/smbd]
└─$ cat genevieve.txt 
Hi! This is Genevieve!

We are still trying to construct our department's IT infrastructure; it's been proving painful so far.

If you wouldn't mind, please do not subject my site (http://192.168.254.155/genevieve) to any load-test as of yet. We're trying to establish quite a few things:

a) File-share to our director.
b) Setting up our CMS.
c) Requesting for a HIDS solution to secure our host.

我们尝试访问它。发现是一个类似CMS的测试页。

Vulnhub Bravery靶机 Walkthrough

然后再Internal Use Only中发现了管理员登录的页面。

Vulnhub Bravery靶机 Walkthrough

我们发现是Cuppa CMS,我们首先通过searchsploit查找目标是否存在漏洞。

Vulnhub Bravery靶机 Walkthrough

我们找到了一个本地/远程文件包含的漏洞,接下来尝试进行利用。

Vulnhub Bravery靶机 Walkthrough

通过查看文件中描述的EXPLOIT,我们首先尝试验证漏洞是否存在。

Vulnhub Bravery靶机 Walkthrough

漏洞存在,我们接下来准备上传Shell。通过python开启http服务器,并准备PHP的Reverse Shell,使用nc监听端口。(PHP Reverse Shell不做展开)最后通过curl发送请求触发漏洞,获得Shell。

Vulnhub Bravery靶机 Walkthrough

Privilege Escalation

在上面的过程中我们获得了Shell,但是Shell处于一个低权限的状态,下面通过一种方式提权。

通过查找具有粘滞位权限的命令,我们找到了cp这个命令。

Vulnhub Bravery靶机 Walkthrough

我们通过将passwd文件cp至当前目录,并通过cat构造一个newpasswd文件,并将构造好的用户添加入newpasswd,再通过cp的粘滞位权限将其替换/etc/passwd进行提权。

需要注意的一点,hacker用户的密码需要自行按照当前系统所使用的密码编码生成,比如CentOS与Ubuntu所使用的hash算法不同,则不能相互识别。

Vulnhub Bravery靶机 Walkthrough

提权成功。

Vulnhub Bravery靶机 Walkthrough文章来源地址https://www.toymoban.com/news/detail-405045.html

到了这里,关于Vulnhub Bravery靶机 Walkthrough的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [Vulnhub靶机] DC-1

    [Vulnhub靶机] DC-1靶机渗透思路及方法(个人分享) 靶机下载地址: https://download.vulnhub.com/dc/DC-1.zip 靶机地址:192.168.67.28 攻击机地址:192.168.67.3 1.使用 arp-scan 命令扫描网段内存活的主机,以获取靶机ip地址 arp-scan -I 指定网卡 -l 2.使用  nmap  工具扫描靶机开放端口、服务版本

    2024年01月20日
    浏览(109)
  • Vulnhub: DarkHole:1靶机

    kali:192.168.111.111 靶机:192.168.111.130 端口扫描 访问目标web网站,注册用户 注册时尝试注册用户名为admin的用户,发现存在该用户 进入用户后台,利用burp抓包越权修改其他用户的密码 admin用户密码被修改 经过测试,phtml后缀的文件可以上传并且被当成脚本执行 查找suid权限的

    2024年02月11日
    浏览(32)
  • Vulnhub靶机:driftingblues 4

    运行环境:Virtualbox 攻击机:kali(10.0.2.15) 靶机:driftingblues4(10.0.2.20) 目标:获取靶机root权限和flag 靶机下载地址:https://www.vulnhub.com/entry/driftingblues-4,661/ 使用nmap主机发现靶机ip: 10.0.2.20 使用nmap端口扫描发现靶机开放端口: 21、22、80 打开网站没有可利用的功能点,并且

    2024年02月01日
    浏览(46)
  • vulnhub靶机Phineas

    下载地址:https://download.vulnhub.com/phineas/Phineas.ova 主机发现 目标154 端口扫描 端口服务扫描 漏洞扫描 直接访问web 初始页面,我就不信没东西,开扫! 访问一下 访问fuel时候发现url变化了 只能进行拼接url那就试一下凭借主页的文件(index.php) url变成这样了 提示是fuel直接去查

    2024年02月05日
    浏览(36)
  • vulnhub靶机Brainpan

    主机发现 arp-scan -l 端口扫描 nmap --min-rate 10000 -p- 192.168.21.156 服务扫描 nmap -sV -sT -O -p9999,10000 192.168.21.156 这个地方感到了有点不对劲,python起来的一个web端口 漏洞扫描 nmap --script=vuln -p9999,10000 192.168.21.156 意料之中,先去看一下web的内容 这个就是一张图片,但是还是扫个目录看

    2024年02月09日
    浏览(39)
  • vulnhub靶机02-Breakout

    主机发现 arp-scan -l 扫描端口 nmap --min-rate 10000 -p- 192.168.21.143 扫描端口信息 nmap -sV -sT -O -p80,139,445,10000,20000 192.168.21.143 漏洞扫描 nmap --script=vuln -p80,139,445,10000,20000 192.168.21.143 先看网站 什么都没有看看f12 找到点好东西 解码看看 Brainfuck/OoK加密解密 - Bugku CTF 这个应该没用了,再去

    2024年02月10日
    浏览(39)
  • Vulnhub:DerpNStink 1靶机

    kali:192.168.111.111 靶机:192.168.111.130 端口扫描 通过nmap的http-enum脚本发现目标80端口存在wordpress,访问目标网站的wordpress被重定向到http://derpnstink.local,修改hosts文件再访问 通过wpscan枚举出目标存在admin用户 尝试弱口令admin,登录到wordpress后台,在后台发现插件Slideshow存在任意

    2024年02月08日
    浏览(55)
  • Vulnhub: bassamCTF: 1靶机

    kali:192.168.111.111 靶机:192.168.111.210 端口扫描 修改hosts文件 爆破出子域名 welcome 对子域目录爆破 index.php 存在文件读取 查看 /etc/passwd 和 config.php 用 config.php 中的账号密码登录ssh,账号: test ,密码: test123 查看test用户的历史命令发现文件 MySecretPassword MySecretPassword 文件内容

    2024年02月11日
    浏览(38)
  • Vulnhub: Corrosion靶机

    kali:192.168.111.111 靶机:192.168.111.130 端口扫描 目录爆破 blog-post目录下存在两个目录 对archives目录中的randylogs.php进行测试发现存在文件包含 成功包含ssh日志 利用ssh写入webshell到ssh日志文件中,再配合文件包含拿shell 文件包含ssh日志文件执行反弹shell 在/var/backups目录下发现us

    2024年02月09日
    浏览(39)
  • Vulnhub: blogger:1靶机

    kali:192.168.111.111 靶机:192.168.111.176 端口扫描 在80端口的 /assets/fonts/ 目录下发现blog目录,访问后发现为wordpress 利用wpscan发现wordpress插件 wpdiscuz 存在任意文件上传漏洞 msf进行漏洞利用 vagrant用户的密码同样为vagrant vagrant用户sudo权限 提升为root flag

    2024年02月14日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包