红队笔记8-CTF5打靶流程-CMS漏洞-多用户信息泄露(vulnhub)

news2024/11/17 10:04:01

目录

开头:

1.主机发现和端口扫描:

2.80端口-NanoCMS哈希密码信息泄露-后台getshell

3.提权-用户过多信息泄露

4.总结:


开头:

学习的视频是哔哩哔哩红队笔记:

「红队笔记」靶机精讲:LAMPSecurityCTF5 - 标准攻击链,却处处需要细心,枚举和信息收集能力才是考验。_哔哩哔哩_bilibili

打靶时参考文章和本文借鉴文章:

红队打靶:LampSecurity:CTF5打靶思路详解(vulnhub)_lampsecurityctf5-CSDN博客

靶机下载链接见:

https://download.vulnhub.com/lampsecurity/ctf5.zip

1.主机发现和端口扫描:

参考链接nmap主机发现和端口扫描:渗透测试:主机发现和端口扫描的方法总结(nmap+arp-scan+ping命令+nc.traditional+伪设备连接)-CSDN博客

sudo nmap -sn 192.168.254.0/24  
sudo nmap -min-rate 10000 -p- 192.168.254.146
sudo nmap -sV -sT -O -p22,25,80,110,111,139,143,445,901,3306,52395 192.168.254.146   
sudo nmap -sU -p22,25,80,110,111,139,143,445,901,3306,52395 192.168.254.146
sudo nmap --script=vuln -p22,25,80,110,111,139,143,445,901,3306,52395 192.168.254.146

 通过nmap信息搜集,搜集以下信息:

1.存活端口:22 ssh  25 邮箱 80 http  110pop3(邮局协议的第3个版本,pop第一个版本) 111rpchind 139 netbios-ssn(NETBOS - SSN(网络基本输入输出系统) 143imap   445microsoft-ds    901samba-swat   3306mysql    52395 不知道

端口众多,但是常见的不多,在对其渗透过程中先对熟悉的端口入手

2.80端口-脚本扫描:

         1.枚举了一些目录

         2.CSRF

         3.sql注入

2.80端口-NanoCMS哈希密码信息泄露-后台getshell

80:

80端口web打开是这个样子的,先观察一下页面,查看源码(CMS),分析页面功能点(getshell),再目录爆破

跳转了一个博客,存在管理员登录

登录窗口,可以发现web是NanoCMS,接下来的思路就是登录后台,通过后台功能点getshell

看见登录窗口3点:

1.sql注入获得账号密码/登录窗口存在sql注入-万能密码

2.默认登录密码/弱口令

3.CMS漏洞

NanoCMS是一个CMS,看了一圈发现就管理员登录和CMS有点用,看看之前nmap扫描的漏洞能否利用,sqlmap没有扫描出来sql注入 ,信息泄露的目录我也看了,有暴露出一个网站还有phpadmin,尝试弱口令,网上搜索默认密码,目录爆破也没有发现什么有用的价值。

尝试使用searchsploit 搜索Nanocms的漏洞,看看是否存在对我们有用的漏洞

我们现在知道这个CMS,可以尝试搜索,虽然不知道版本号,但是这个cms应该是一个小众的cms 漏洞应该不是很多

sudo searchsploit nanocms

搜索不到有几点原因:

1.不存在漏洞

2.因为searchsploit 是基于 exploitd漏洞库,漏洞库没有集成就没有

3.searchsploit 是基于 exploitd漏洞库的,主要是国外漏洞,国内的比较少,该CMS是国内产品

使用工具搜索不到的时候,就上网搜索:

发现存在哈希密码信息泄露漏洞

这里就是漏洞利用点了,哈希密码泄露的点了

发现admin和哈希的密码 ,先判断是什么哈希算法

Hash-indentifier 9d2f75377ac0ab991d40c91fd27e52fd

MD5解密:

 账号密码 admin : shannon

登录成功

进入后台就是常规操作了,找能写入代码的点,文件上传的点,插件安装,

可以看见CMS后台存在,其中图片上传是我们的重点

但是我们发现了另一个,点击new page 可以编辑页面,上传页面后再page/目录下创建了一个PHP文件,这很符合我们的代码利用点,

接下来就是些一个带有反弹shell的新page

写入反弹shell,并访问shell

反弹成功

3.提权-用户过多信息泄露

ip a

id

whoami

uname -a

 ip地址确定是我们的目标主机,我们初步立足点的用户 apache 是个功能性用户低权限,Linux kernel 版本 2.6.23 低版本存在内核漏洞

 当我们或者初步立足点后,必须看的一些主机信息,接下来就是提权了

Sudo -l 

但我们交互吧完整,缺少tty,使用python获得较好的交互

 没有用户密码无法查看sudo -l

cat /etc/passwd


只有我框住的地方有bash权限,这有挺多用户啊,但是我们又没有相关的密码
看看能不能看etc/shadow(但多半不能看,/etc/shadow文件通过只要root权限才能看)


 

又经过一系列的搜索,没发现特殊的信息,结合/etc/passwd中有Bash的用户有很多,很有可能其中的某个用户会在自己家目录中的文件里写入有关root的密码。我们在/home目录搜索一下包含'pass'字符串的文件有哪些,命令如下:

grep -R -i pass /home/* 2>/dev/null

该命令的含义是在/home/目录下递归搜索包含不区分大小写的字符串"pass"的文件,并将搜索结果输出到标准输出。命令的具体解释如下:

grep: 是一个用于在文件中搜索指定模式的命令。

-R: 表示递归搜索,将在指定目录及其子目录下搜索文件。

-i: 表示忽略大小写,在搜索时不区分大小写。

pass: 是要搜索的字符串模式。

/home/*: 搜索的目录路径,/home/表示在/home/目录下搜索,*表示搜索所有子目录和文件。

2>/dev/null: 将标准错误输出重定向到/dev/null设备,这样错误信息将被丢弃而不会显示在终端上。

 可以搜索出一些带有关键字的信息,一一筛选,其中第一个是被html标签里面的root password 可疑性很大,第二个是再log文件夹下的Root password 日志文件中的密码也有可能,依次查看一下

50$cent

欧克,不知道这个是不是root密码管他37 21试试就知道了

su root

 交互不完整,导致报错

python -c "import pty;pty.spawn('/bin/bash')"

 登录root成功

4.总结:

这次的靶场难度不高,但很需要经验,在提权过程中,把能有提权到尝试都去探索了一遍,发现都没有利用点,根据/etc/passwd文件下多用户bash的情况,很有可能有用户为了方便提权操作,会在自己的目录下存放有关提权的密码文件,我们正是利用了这一点,靶场总结:

1.主机发现和端口扫描:端口扫描,发现存活了大量端口,其他很多端口不熟悉,依旧选择从80端口入手

2.80端口:通过观察页面,发现是由NanoCMS搭建,存在后台登录窗口,根据想登录后台getshell的思路,寻找密码,最后在通过浏览器搜索到了NanoCMS的凭据泄露漏洞,成功登录后台。

3.NanoCMS后台getshell:后台存在很多利用的,包括文件上传,代码执行,我们通过new page功能,写入反弹shell,获得初步立足点

4.提权:由于观察/etc/passwd存在多bash用户,通过grep查询用户家目录下存放有关提权的密码文件

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1550565.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Java程序设计】【C00392】基于(JavaWeb)Springboot的校园生活服务平台(有论文)

基于(JavaWeb)Springboot的校园生活服务平台(有论文) 项目简介项目获取开发环境项目技术运行截图 博主介绍:java高级开发,从事互联网行业六年,已经做了六年的毕业设计程序开发,开发过…

有趣的css - 多弧形加载动画

大家好,我是 Just,这里是「设计师工作日常」,今天分享的是用纯css实现多双弧线加载动画。 《有趣的css》系列最新实例通过公众号「设计师工作日常」发布。 目录 整体效果核心代码html 代码css 部分代码 完整代码如下html 页面css 样式页面渲…

MySQL数据库基础--约束

约束 约束是作用于表中字段上的规则,用于限制在表中的数据 目的:保证数据库中数据的正确,有效性和完成性。 分类: 注意:约束是作用于表中字段上的,可以在创建表/修改表的时候哦添加约束 外键约束 外键用…

心理治疗聊天机器人的调查

摘要 这项调查旨在调查、分析和比较现有聊天机器人在心理治疗中的可行性和缺陷。调查指出了未来心理治疗聊天机器人所需的一系列任务。我们在公共数据库中检索了约1200篇相关文献,并选择了五种典型的和最先进的心理治疗聊天机器人。大多数最先进的心理治疗聊天机器人…

AndroidStudio中一些实用插件

1.RainbowBrackets插件为圆括号、方括号和花括号内的代码添加了漂亮的彩虹色 2.CodeGlance类似于Sublime或Xcode,CodeGlance插件在编辑器中嵌入了代码迷你图。滚动条也有所增大。在CodeGlance预览文件的代码模式下,用户可以快速导航到目标处。 3.ADBWifi…

机器人是怎么计时的(通用定时器 - 时基单元)

目录 一,引言 二,机器人的“大脑” 三,时基单元介绍 1,定时器框图 2,时基单元 (1)预分频器 (2)CNT计数器 (3)自动重装载寄存器 四&#…

如何在vue中使用echarts,与jquery中有啥不同。

一、vue中使用echarts的步骤 在 Vue 中使用 ECharts 可以按照以下步骤进行: 安装 ECharts:使用 npm 或 yarn 安装 ECharts: npm install echarts 在 Vue 组件中引入 ECharts: import echarts from echarts 在 Vue 组件的 mou…

BUUCTF-Misc15

[SWPU2019]我有一只马里奥1 1.打开附件 是一个可执行文件 2.执行 双击可执行文件生成一个1.txt的文件 文件提示ntfs,需要一个工具ntfsStreamsEditor 3.ntfsStreamsEditor “ntfsStreamsEditor” 是一个用于管理 Windows 操作系统中 NTFS(新技术文件系统&#xff…

node的安装

官网下载(建议使用预编译包安装) 地址(https://nodejs.org/en/download/prebuilt-binaries) 解压包,并将 bin下面的 node npm npx加入到环境变量中或者建立软连接 ln -s 安装位置/bin/node PATH下面的路径 npm配置…

Vivado工程收敛之报告分析大全

目录 一、前言 二、分析报告 2.1 时钟分析 2.1.1 时钟报告 2.1.2 时钟网络报告 2.1.3 时钟利用率报告 2.1.4 跨时钟域报告 2.2 时序分析 2.3 约束分析 2.4 资源分析 2.5 逻辑级数分析 2.6 扇出分析 2.7 进位链分析 2.8 控制集分析 2.9 复杂度分析 2.10 pipelin…

运筹学基础(一)求解线性规划的单纯形法详解

文章目录 前言线性规划的标准形式一个例子理解单纯形法1. 将线性规划转化为标准形式2. 找到一个初始可行解3. 旋转操作4. 重复旋转 一些badcase退化初始解不是可行解以及无解的情况找不到有限制条件的替入变量——无界解 时间复杂度参考资料 前言 大学的《运筹学》课程中&…

【分享】Word文档的5个隐藏功能

编辑Word文档的过程中,有时候我们需要隐藏一些格式,或者重要信息,今天小编来分享4个Word文档的隐藏功能,记得收藏哦! 功能1:隐藏文本内容 对于不想被他人看到的文本内容,可以设置隐藏起来。 首…

备份SQLserver数据库到本地位置

怎么选择合适的数据库备份方案? 有人可能会说SSMS,确实,SSMS作为一个微软官方提供的SQLserver数据库管理工具,是可以帮助我们完成对数据库的备份还原任务的,但是它也有一些局限性,比如不能进行批量化的备份…

区块链技术与大数据结合的商业模式探索

hello宝子们...我们是艾斯视觉擅长ui设计和前端开发10年经验!希望我的分享能帮助到您!如需帮助可以评论关注私信我们一起探讨!致敬感谢感恩! 随着区块链技术和大数据技术的不断发展,两者的结合为企业带来了新的商业模式…

大话设计模式之装饰模式

装饰模式(Decorator Pattern)是一种结构型设计模式,它允许向现有对象动态地添加新功能,同时又不改变其结构。装饰模式通过将对象放入包装器中来实现,在包装器中可以动态地添加功能。 在装饰模式中,通常会有…

碳素光线疗法与宠物健康

碳素光线与宠物健康 生息在地球上的所有动物、在自然太阳光奇妙的作用下、生长发育。太阳光的能量使它们不断进化、繁衍种族。现在、生物能够生存、全仰仗于太阳的光线。太阳光线中、包含有动物健康所需要的极为重要的波长。因此、和户外饲养的动物相比、在室内喂养的观赏动物、…

基于深度学习的心律异常分类算法

基于深度学习的心律异常分类系统——算法设计 第一章 研究背景算法流程本文研究内容 第二章 心电信号分类理论基础心电信号产生机理MIT-BIH 心律失常数据库 第三章 心电信号预处理心电信号噪声来源与特点基线漂移工频干扰肌电干扰 心电信号读取与加噪基于小波阈值去噪技术的应用…

JetBrains全家桶激活,分享 WebStorm 2024 激活的方案

大家好,欢迎来到金榜探云手! WebStorm公司简介 JetBrains 是一家专注于开发工具的软件公司,总部位于捷克。他们以提供强大的集成开发环境(IDE)而闻名,如 IntelliJ IDEA、PyCharm、和 WebStorm等。这些工具…

Tire树-不学面试后悔

先来一张图,看多少同学在面试中遇到这个题,然后被迫放弃,那就太可惜,因为这个题只要你往下看就会了 Trie(发音类似 "try")或者说 前缀树 是一种树形数据结构,用于高效地存储和检索字…

追光而遇 沐光同行——锐捷网络召开2024教育行业核心合作伙伴论坛

3月21日,主题为“追光而遇 沐光同行”的2024锐捷网络教育行业核心伙伴论坛在福州启幕。论坛汇聚了教育行业的精英与合作伙伴,议题主要聚焦于教育行业的数字化转型与创新发展,以及如何通过技术驱动,构建智慧教育生态,推动教育事业的高质量发展。作为行业领先的ICT基础设施及解决…