The Planets:Venus

靶场下载

The Planets: Venus ~ VulnHub

信息收集

# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:43:7c:b1, IPv4: 192.168.1.60
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.1.1     00:50:56:c0:00:08       VMware, Inc.
192.168.1.2     00:50:56:fe:b1:6f       VMware, Inc.
192.168.1.84    00:0c:29:99:d4:0c       VMware, Inc.
192.168.1.254   00:50:56:f1:7f:c5       VMware, Inc.

靶机的IP地址为192.168.1.84

# nmap -sT --min-rate 10000 -p- 192.168.1.84 -oN port.nmap         
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-08 09:12 CST
Nmap scan report for 192.168.1.84
Host is up (0.0060s latency).
Not shown: 65513 filtered tcp ports (no-response), 20 filtered tcp ports (host-unreach)
PORT     STATE SERVICE
22/tcp   open  ssh
8080/tcp open  http-proxy
MAC Address: 00:0C:29:99:D4:0C (VMware)

开放端口信息为22 和 8080端口

# nmap -sT -sC -sV -O -p22,8080 192.168.1.84 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-08 09:13 CST
Nmap scan report for 192.168.1.84
Host is up (0.00053s latency).PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 8.5 (protocol 2.0)
| ssh-hostkey: 
|   256 b0:3e:1c:68:4a:31:32:77:53:e3:10:89:d6:29:78:50 (ECDSA)
|_  256 fd:b4:20:d0:d8:da:02:67:a4:a5:48:f3:46:e2:b9:0f (ED25519)
8080/tcp open  http-proxy WSGIServer/0.2 CPython/3.9.5
|_http-server-header: WSGIServer/0.2 CPython/3.9.5
| fingerprint-strings: 
|   GetRequest, HTTPOptions: 
|     HTTP/1.1 200 OK
|     Date: Mon, 08 Jan 2024 01:13:14 GMT
|     Server: WSGIServer/0.2 CPython/3.9.5
|     Content-Type: text/html; charset=utf-8
|     X-Frame-Options: DENY
|     Content-Length: 626
|     X-Content-Type-Options: nosniff
|     Referrer-Policy: same-origin
|     <html>
|     <head>
|     <title>Venus Monitoring Login</title>
|     <style>
|     .aligncenter {
|     text-align: center;
|     label {
|     display:block;
|     position:relative;
|     </style>
|     </head>
|     <body>
|     <h1> Venus Monitoring Login </h1>
|     <h2>Please login: </h2>
|     Credentials guest:guest can be used to access the guest account.
|     <form action="/" method="post">
|     <label for="username">Username:</label>
|     <input id="username" type="text" name="username">
|     <label for="password">Password:</label>
|     <input id="username" type="text" name="password">
|     <input type="submit" value="Login">
|     </form>
|     </body>
|_    </html>
|_http-title: Venus Monitoring Login

开放的服务相关信息可以看到 22端口上的openssh版本信息为8.5 同时http服务是WSGIServer/0.2 CPython/3.9.5 跟我们同系列的上一个靶场是相同的(Mercury)

# nmap -sT --script=vuln -p22,8080 192.168.1.84 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-08 09:13 CSTPORT     STATE SERVICE
22/tcp   open  ssh
8080/tcp open  http-proxy
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       http://ha.ckers.org/slowloris/
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
MAC Address: 00:0C:29:99:D4:0C (VMware)

nmap的默认漏洞脚本信息探测结果没什么有价值的信息~

渗透测试

首页情况如下:

首页就是登录的页面,同时给出了我们一个账号和密码信息,guest用户可以访问该用户!

没错,guest用户确实是能够正确的登录进来的!此时看到回显数据包中的cookie字段:

auth的值是base64编码的,尝试解密拿到:

感觉后面的thrfg便是一个用户名吧? 例行的目录扫描还是要做一下的:

找了一个登录的界面:

但是不管你输入什么东西,都会出现服务器错误,报500错误~ 没有其他的任何界面;回到了第一个登录的界面,发现当输入用户名正确,密码不正确的时候,出现提示“密码不对”;当用户名直接不对的时候,提示“用户名错误”!那么这里可以去爆破一下用户名信息了!

hydra -L /usr/share/wordlist/rockyoou.txt -p pass -s 8080 192.168.1.84 http-post-form "/:username=^USER^&password=^PASS^:invaild username."

拿到了一个用户venus!密码不知道;这里先不去爆破密码,因为上面可以看到cookie字段可能存在伪造~所以先去尝试一下伪造cookie:

这里将cookie字段替换之后,发现还是没什么变化!无奈只能去爆破密码:

拿到了密码,尝试登录进去看看有什么其他的功能嘛? 或者我们直接去ssh登录看看是否成功?

没什么多的功能,只能是去尝试ssh登陆啦!

登陆不成功? 除了第一个venus monitor界面能够登陆成功之外,其他的地方均无法成功登录;不知道这个用户有什么用处~ 感觉还是在cookie上面进行突破呢? cookie看起来很奇怪!再次尝试将cookie变为:venus:venus 然后编码发送看一下:

发现回显的cookie怎么不一样呢?尝试解密:

一直没明白:后面的字符串是什么?看起来不像是乱码;在迷茫的时候,hydra又出来了一个用户名:

又得到了一个账号,再次替换cookie,看看是不是又能得到什么“乱码"

真的不一样哈,再次解密:

直接晕了,尝试了ssh登录也不对;这里看了大佬的wp;说是rot13???

magellan:irahfvnatrbybtl1989
guest:thrfg
venus:irahf

真的很无奈了,这里下面的两个肯定ssh登陆不成功,因为我早就试过了~ (哎~ 这里的rot13真没想到,看起来就不是乱码,是有意义的字符串,但是没想到是这种加密)

最终拿magellan这个用户和密码登陆成功!

拿到了user的flag:

提权

没有sudo权限:

存在两个可用的用户:

suid权限的文件:

看到了pkexec,想到CVE-2021-4034,这里还尝试了其他的提权路径,无奈又利用了这个漏洞:

尝试下载漏洞利用脚本,进行编译执行:

提权成功~ 读取root中的flag文件!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/337600.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Intro project based on BERT

LeeMeng - 進擊的 BERT&#xff1a;NLP 界的巨人之力與遷移學習 这篇博客使用的是PyTorch&#xff0c;如果对PyTorch的使用比较陌生&#xff0c;建议直接去看PyTorch本身提供的tutorial&#xff0c;写的非常详细&#xff0c;还有很多例子。 这篇博客除了会介绍BERT之外&#…

1.10.。。。

1 有道云笔记 2 second.h #ifndef SECOND_H #define SECOND_H#include <QWidget>namespace Ui { class Second; }class Second : public QWidget {Q_OBJECTpublic:explicit Second(QWidget *parent nullptr);~Second(); public slots:void my_jump_slot(); priv…

采用不同的方式,合并多个文件为一个文件。其中包括:Java方法,Windows脚本,CMD命令

1. 批处理命令 可以实现不同文件的合并&#xff0c;将文件拖入这个命令即可。 echo off setlocal enabledelayedexpansionset "outputFilemerged_output.txt"rem Check if the output file already exists and delete it if exist "%outputFile%" del &qu…

2024洗地机哪个牌子值得买?洗地机选购指南

在清洁家电的这个市场&#xff0c;洗地机可以说是勇往直前的&#xff0c;不仅在于它高效的深度清洁&#xff0c;还有要考虑它的时间&#xff0c;以及省力方面。在这个洗地机的市场不断地越做越大中&#xff0c;我们在考虑洗地机的配置以及性能上往往没有任何头绪。无线洗地机在…

PACS医学影像报告管理系统源码带CT三维后处理技术

PACS从各种医学影像检查设备中获取、存储、处理影像数据&#xff0c;传输到体检信息系统中&#xff0c;生成图文并茂的体检报告&#xff0c;满足体检中心高水准、高效率影像处理的需要。 自主知识产权&#xff1a;拥有完整知识产权&#xff0c;能够同其他模块无缝对接 国际标准…

A借助AI工具提升电子邮件营销内容效果

随着互联网的普及和电子邮件的广泛应用&#xff0c;邮件营销已成为企业推广产品和服务的重要手段之一。为了提高邮件营销的效果&#xff0c;我们需要关注邮件内容的质量和吸引力。而百度文言一心等AI工具作为一款强大的在线写作工具&#xff0c;可以帮助我们提升邮件营销内容的…

【银行测试】项目核心测试总结分析,8年测试经验...

目录&#xff1a;导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09; 前言 1、银行测试的主要…

HTTP 代理原理及实现(二)

在上篇《HTTP 代理原理及实现&#xff08;一&#xff09;》里&#xff0c;我介绍了 HTTP 代理的两种形式&#xff0c;并用 Node.js 实现了一个可用的普通 / 隧道代理。普通代理可以用来承载 HTTP 流量&#xff1b;隧道代理可以用来承载任何 TCP 流量&#xff0c;包括 HTTP 和 H…

地铁判官(外包)

到处都是说外包不好不好的&#xff0c;从没有想过自身问题。 例如&#xff1a; 技术人员动不动就是说&#xff0c;进了外包三天&#xff0c;一年&#xff0c;三年之后技术退步很多。就算你这样的人进了甲方&#xff0c;也是个渣渣。(声明一下&#xff0c;我也是外包&#xff0…

设计模式—行为型模式之策略模式

设计模式—行为型模式之策略模式 策略&#xff08;Strategy&#xff09;模式定义了一系列算法&#xff0c;并将每个算法封装起来&#xff0c;使它们可以相互替换&#xff0c;且算法的变化不会影响使用算法的客户。属于对象行为模式。 策略模式的主要角色如下。 抽象策略&…

针对大规模服务日志敏感信息的长效治理实践

文章目录 1 背景2 目标与措施3 实施3.1 脱敏工具类3.2 JSON脱敏3.3 APT自动脱敏3.3.1 本地缓存问题3.3.2 JDK序列化问题 3.4 弃用方案 4 规划5 总结 1 背景 近年来&#xff0c;国家采取了多项重要举措来加强个人数据保护&#xff0c;包括实施《中华人民共和国网络安全法》和《…

车速预测 | Matlab基于RBF径向基神经网络的车速预测模型(多步预测,尾巴图)

目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 车速预测 | Matlab基于RBF径向基神经网络的车速预测模型&#xff08;多步预测&#xff0c;尾巴图&#xff09; 程序设计 完整程序和数据获取方式&#xff1a;私信博主回复Matlab基于RBF径向基神经网络的车速预测模型…