科技

滲透測試實戰-DC-1:1靶機入侵+Matrix2靶機入侵

矩陣滲透測試 · 發表 2019-03-13 14:36:54

摘要：前言大家好，靶機更新了愛寫靶機實戰的我又來了，文章最後有福利哦！！靶機下載安裝 DC-1下載地址: https://pan.baidu.com/s/1BNwbssr5ezL6DP-_6AbB4w Matrix2下載地址： https://pan.baidu....

前言

大家好，靶機更新了愛寫靶機實戰的我又來了，文章最後有福利哦！！

靶機下載安裝

DC-1下載地址: https://pan.baidu.com/s/1BNwbssr5ezL6DP-_6AbB4w

Matrix2下載地址： https://pan.baidu.com/s/1hPqxVYwrC2rygeeAuurFMw

實戰

DC-1：1入侵

下面開始第一步的征程了，我們先探測一下IP

靶機IP：172.16.24.46

繼續使用nmap來開路

可以看到它開放了多個埠，我們看一下80埠是什麼情況。。。

如圖所示，是個 Drupal 的cms網站，

那麼我們跑一下目錄看一下吧

可以看到目錄還是挺多的，其實沒必要跑目錄，我們只需要看一下 /robots.txt

確認一下Drupal版本

訪問 /CHANGELOG.txt 出錯，我們可以訪問/UPGRADE.txt來確認升級情況一樣能判斷出版本… 哈哈哈

通過搜尋發現該版本有個RCE漏洞，

這個小弟前面的文章出現過2次了，這次這裡就不多做介紹了，直接拿shell吧，我還是一樣使用msf完成

執行直接拿到shell，

拿到flag

其實這些不是小弟寫這個靶機的重點，我們的重點是提權的騷思路

下一步我們提權，老規矩上傳個提權輔助指令碼看看

我們把關注點放在這裡，如圖：

（注：這個也可以通過這個命令直接檢視，命令：find / -perm -u=s -type f 2>/dev/null

）在提權的時候千萬別忘記使用這個命令哦，有的時候有驚喜。。。。

其實小弟在這裡被卡了一段時間，最後的突破口呢，我用到find的命令，

通過搜尋find命令，發現可以帶入命令，下面我來操作一遍

1.建立一個空檔案叫 anqke

直接使用命令： find anqke -exec ‘whoami’ ; (注：命令結尾這個“;”必須要加)

參考： https://www.cnblogs.com/aaronax/p/5618024.html

可以看到我們能直接帶入命令，且是root許可權，最後我們直接執行exp

find anqke -exec ‘/bin/sh’ ;

該靶機用find提權，小弟還是第一次見和使用（可能我low，大神們別噴），感覺肯定對大家以後實戰中會有幫助，所以分析出來給大家！！

本靶機完！

Matrix2靶機入侵

該靶機的1 writeup，小弟投稿被pass了（工作人員：嚶嚶嚶），現在出2了但是沒事小弟還是繼續投稿！

言歸正傳，老規矩nmap開路

可以看到該靶機開放了很多埠，我們逐一檢視吧

我們把目光放在 12322 埠，下面我們對他進行目錄爆破

拿到一個新檔案

看到這個檔名，相信小夥伴們就已經知道怎麼搞了，沒錯！以這種靶機的尿性，基本上這種就存在任意檔案讀取漏洞了，我們試一下

的確存在漏洞，因為它是nginx，所以我們看一下nginx配置檔案

發現了 /var/www/p4ss/.htpasswd , 我們進行檢視

拿到加密hash密文，我們保持起來本地破解看看

得到密碼： Tr1n17y – admin

我們使用破解出來的密碼成功登陸 1337 埠，如圖：

習慣性檢視原始碼，發現了註釋裡有個圖片連結

我們下載來，看到這個小夥伴們肯定就知道了，圖片隱寫。。。 CTF常用套路

如上圖中，我們使用 steghide 命令能分離被隱寫的檔案，但是需要我們輸入密碼，這裡不知道大家有沒有看到剛剛密碼登陸成功後首頁上紅色的 “n30”, 沒錯密碼就是它。。。然後我們就分離出來一個名為“n30.txt”,檢視一下，如圖：

得到密碼：P4$$w0rd

得到密碼後，我們下一步不知道大家還記不記得12320埠。。。去12320埠登陸吧，

成功登陸，但是這個shell不怎麼好用，會超時，所以我就彈了個shell回來

下面就是提權了，這裡就省去小弟常見的下載執行提權外掛了，直接講個好用的吧，

我們先切換到該使用者的/home目錄下面，執行 ls -la，如圖：

看到很多隱藏檔案，大家以後實戰的時候，記得一定一定要關注關注 “.bash_history”

這裡記錄了這個使用者執行過的歷史命令，相信你肯定會感興趣，如圖：

是不是很驚喜？但是這個 “morpheus” 是什麼東西，許可權怎麼樣呢？

這裡可以執行執行本文上篇靶機中用到的命令：

find / -perm -u=s -type f 2>/dev/null

下面那個…… 不好意思搞錯了，再來（配音）

可以看到許可權比較高。。（或者直接上傳提權指令碼，可以看到該程式所屬許可權）

然後我們就把執行那個命令複製來執行一下吧。。。

成功拿到root許可權，然後就是拿flag了

本靶機完！！

福利

北京網禦星雲有限公司-廣東辦招人啦！！！！現需多名銷售精英、售前工程師、售後工程師、專案經理、安服人員，有意的請聯絡郵箱 [email protected] base地址：廣州。也可聯絡小弟WeChat（在小弟的前面幾篇文章裡找。。賤笑表情）謝謝您的觀看和關注

來源：安全客

您可能也會喜歡…