资讯专栏INFORMATION COLUMN

Vulnhub未知攻焉知防

IT那活儿 / 1574人阅读
Vulnhub未知攻焉知防
[
前言
]


背景描述:随着网络安全形势日益严峻,安全攻击层出不穷,同时,随着业务数据的价值越来越高,数据泄露、页面篡改、黑链等安全事件使得企业系统所面临的安全威胁随之增大,造成的损失愈发严重。安全厂商的安全防护产品也是各显神通,攻防升级不断加剧,对抗手段、成本都在提升。而作为企业,该如何防护自身的安全风险,除了上各种安全设备,出台一系列管理制度,加强员工的安全意识,也需培养相应的安全人才,并对攻击者的攻击手段有所了解,才能防患于未然。所谓知己知彼,百战不殆。


本文从攻击者角度,讲述如何拿下一台目标主机管理员权限。所使用工具、技术皆为攻防研究所用,切勿用于黑灰产行业,渗透千万条,安全第一条,操作不规范,亲人两行泪!

靶机难度:初级


靶机地址

靶机ip:192.168.1.108

靶机描述:目标为拿下主机的root权限,共有2个flag

用到的知识点、工具和漏洞:

  • Nmap端口扫描

  • XFF头篡改

  • Burpsuit

  • Dirbuster目录扫描

  • 越权

  • Hydra ssh爆破

  • Php提权


[
信息收集
]


主机探测:netdiscover-i eth0 -r 192.168.1.0/24


端口探测及服务识别:nmap-sS -sV -T5 -A 192.168.1.108


当前靶机开放了22和80端口,首先以80的web服务为突破口。

Ofcourse 先扫波目录,这里使用的kali自带的dirbuster


/misc和/config目录下没发现啥有用的信息,先看下首页有啥


提示本站点只能本地访问,估计是通过XFF头进行绕过,这里推荐一个火狐插件HeaderEditor,安装后添加XFF字段


之后再访问就正常了

首页关注到了url中page参数,是否存在文件包含或文件读取,进行了多次尝试无果。于是注册了1个用户登录进去看看有什么发现


Profile点进去似乎是一个修改密码的界面


在这里发现了一个关键参数user_id=14(url中的参数),试着去更改该数值,真是喜从中来呀


用户信息就变了,确定这里存在越权,通过该越权漏洞可以枚举出所有的用户信息,我这里刚注册的用户id数为14,那么我枚举出id1-13的所有用户,这里用burpsuit抓包传到intruder进行枚举


将用户名及密码信息分别整理存放,下一步可将该信息用于SSH爆破,看是否能爆出用户名密码


接下来使用hydra进行爆破

hydra-L user.txt -P pass.txt 192.168.1.108 ssh


得到一对用户名密码,接下来使用ssh登录上去


接下来看看home目录下有啥东西,


发现一个.my_secret目录,进去找到了第一个flag


[
提权
]


目前只是拿到了低权限账号,下面要进行提权,提权可通过几种途径

  • Sudo -l 查询具有sudo权限命令,然后提权

  • SUID提权,find / -perm -u=s -type f 2>/dev/null

  • 通过在/etc/passwd添加一个root权限的账户进行提权,

  • find / -writable -type f 2>/dev/null 查找可利用的可写文件

  • 内核提权

  • 其他


这里使用sudo-l 查询有哪些sudo权限命令


这里需通过php提权


可通过上述命令进行提权


拿到root权限后,读取最后一个flag

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/130079.html

相关文章

  • [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看

    摘要:本文将分享软件基本用法及文件进程注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。可以帮助使用者对系统中的任何文件注册表操作进行监视和记录,通过注册表和文件读写的变化,有效帮助诊断系统故障或发现恶意软件病毒及木马。 ...

    kk_miles 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<