最新要闻
- 焦点观察:69岁成龙说我还能打还能跳:是个奇迹
- 1999元神机诞生!Redmi Note 12 Turbo成了:用户好评率接近100%
- 全球报道:曾称失控都是踩错单踏板!网友晒特斯拉新OTA 想要的制动恢复两档可选
- 全球播报:女子乘高铁把脚放前排乘客头上:狡辩称”鞋底不脏“
- 天天快资讯丨碱性食物有哪些_十大碱性食物排名
- 用阳光代替WiFi信号连网 沙特科学家这成果亮了
- 世界速讯:电影《龙马精神》上映!刘德华清唱生日快乐歌祝福成龙
- 全球微动态丨连休5天!五一劳动节期间高速公路免费通行
- 口感自然 富含矿物质:依能天然苏打水2.3元(京东4元)
- 每日热议!博主带秤在淄博连逛10家店无缺斤少两:他很佩服
- 天天速递!投资者为何对苹果AR/VR设备没有信心?原因揭开
- 常州市天宁区人民检察院对一起拟不起诉案件公开听证
- 【天天报资讯】装机成本降了! 微星A620M-E主板到手799元:锐龙7 7800X3D绝配
- 关注:国宝熊猫回家记:丫丫要回来了
- 四川一麦田成网红打卡地:遭游客踩踏
- 4799元 AOC新款27英寸电竞显示器上架:360Hz高刷、1ms响应
广告
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
今日热讯:Vulnhub Bravery靶机 Walkthrough
Bravery
Recon
使用netdiscover对本地网络进行arp扫描。
(资料图)
┌──(kali㉿kali)-[~]└─$ sudo netdiscover -r 192.168.80.0/24 Currently scanning: Finished! | Screen View: Unique Hosts 5 Captured ARP Req/Rep packets, from 5 hosts. Total size: 300 _____________________________________________________________________________ IP At MAC Address Count Len MAC Vendor / Hostname ----------------------------------------------------------------------------- 192.168.80.1 00:50:56:c0:00:08 1 60 VMware, Inc. 192.168.80.2 00:50:56:ed:65:ac 1 60 VMware, Inc. 192.168.80.131 00:0c:29:5a:0f:b5 1 60 VMware, Inc. 192.168.80.133 00:0c:29:b9:af:ac 1 60 VMware, Inc. 192.168.80.254 00:50:56:fd:b9:5a 1 60 VMware, Inc. ┌──(kali㉿kali)-[~]└─$ sudo nmap -sS -p- -sV 192.168.80.131 Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-07 00:49 EDTNmap scan report for 192.168.80.131Host is up (0.0010s latency).Not shown: 65522 closed tcp ports (reset)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4 (protocol 2.0)53/tcp open domain dnsmasq 2.7680/tcp open http Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)111/tcp open rpcbind 2-4 (RPC #100000)139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)443/tcp open ssl/http Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)2049/tcp open nfs_acl 3 (RPC #100227)3306/tcp open mysql MariaDB (unauthorized)8080/tcp open http nginx 1.12.220048/tcp open mountd 1-3 (RPC #100005)37985/tcp open status 1 (RPC #100024)44626/tcp open nlockmgr 1-4 (RPC #100021)MAC Address: 00:0C:29:5A:0F:B5 (VMware)Service Info: Host: BRAVERYService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 21.52 seconds发现目标靶机开启了DNS、HTTP、HTTPS和Samba、NFS等一系列的服务。
Process
我们首先发现了NFS这个有趣的服务,我们直接尝试挂载到本地。
┌──(kali㉿kali)-[~/Labs/Bravery]└─$ sudo mount -t nfs 192.168.80.131:/ nfs┌──(kali㉿kali)-[~/…/Bravery/nfs/var/nfsshare]└─$ lsdiscovery enumeration explore itinerary password.txt qwertyuioplkjhgfdsazxcvbnm README.txt其中的内容,大部分没有什么作用,但是我们关注到一个奇怪的文件(此处埋下伏笔)。
┌──(kali㉿kali)-[~/…/Bravery/nfs/var/nfsshare]└─$ cat qwertyuioplkjhgfdsazxcvbnm Sometimes, the answer you seek may be right before your very eyes.NFS中有效的内容不多,此时将我们的目光放到Samba上,目标为Linux机器,要想枚举目标的Samba信息,我们有个得力的工具enum4linux,工具的详细信息。
通过enum4linux工具的输出,我们能够获得Linux主机上的用户和共享文件夹(下为部分内容)。
======================================( Users on 192.168.80.131 )====================================== index: 0x1 RID: 0x3e8 acb: 0x00000010 Account: david Name: david Desc: index: 0x2 RID: 0x3e9 acb: 0x00000010 Account: rick Name: Desc: user:[david] rid:[0x3e8]user:[rick] rid:[0x3e9] ================================( Share Enumeration on 192.168.80.131 )================================ Sharename Type Comment --------- ---- ------- anonymous Disk secured Disk IPC$ IPC IPC Service (Samba Server 4.7.1)我们获得了用户david和rick,以及共享文件夹anonymous和secured。我们首先通过smbclient工具访问共享文件夹anonymous。
┌──(kali㉿kali)-[~/Labs/Bravery]└─$ smbclient //192.168.80.131/anonymous -U % Try "help" to get a list of possible commands.smb: \> dir . D 0 Fri Sep 28 09:01:35 2018 .. D 0 Thu Jun 14 12:30:39 2018 patrick"s folder D 0 Fri Sep 28 08:38:27 2018 qiu"s folder D 0 Fri Sep 28 09:27:20 2018 genevieve"s folder D 0 Fri Sep 28 09:08:31 2018 david"s folder D 0 Tue Dec 25 21:19:51 2018 kenny"s folder D 0 Fri Sep 28 08:52:49 2018 qinyi"s folder D 0 Fri Sep 28 08:45:22 2018 sara"s folder D 0 Fri Sep 28 09:34:23 2018 readme.txt N 489 Fri Sep 28 09:54:03 2018 17811456 blocks of size 1024. 12839656 blocks available我们获得了一部分用户和readme.txt,但这些文件夹并没有实际的作用。readme.txt只告诉我们这个samba共享系统可能即将被替换到Sharepoint。那么我们就尝试访问另一个secured文件夹,此时之前埋下的伏笔就起到了作用,它是david账户的密码。在文件夹中我们发现了三个文件。
┌──(kali㉿kali)-[~/Labs/Bravery/smbd]└─$ cat david.txt I have concerns over how the developers are designing their webpage. The use of "developmentsecretpage" is too long and unwieldy. We should cut short the addresses in our local domain.1. Reminder to tell Patrick to replace "developmentsecretpage" with "devops".2. Request the intern to adjust her Favourites to http:///devops/directortestpagev1.php. david.txt文件也是一个伏笔,不过这个靶机无关。其中最为关键的是genevieve.txt文件。其中有一个url值得我们关注。
┌──(kali㉿kali)-[~/Labs/Bravery/smbd]└─$ cat genevieve.txt Hi! This is Genevieve!We are still trying to construct our department"s IT infrastructure; it"s been proving painful so far.If you wouldn"t mind, please do not subject my site (http://192.168.254.155/genevieve) to any load-test as of yet. We"re trying to establish quite a few things:a) File-share to our director.b) Setting up our CMS.c) Requesting for a HIDS solution to secure our host.我们尝试访问它。发现是一个类似CMS的测试页。
然后再Internal Use Only中发现了管理员登录的页面。
我们发现是Cuppa CMS,我们首先通过searchsploit查找目标是否存在漏洞。
我们找到了一个本地/远程文件包含的漏洞,接下来尝试进行利用。
通过查看文件中描述的EXPLOIT,我们首先尝试验证漏洞是否存在。
漏洞存在,我们接下来准备上传Shell。通过python开启http服务器,并准备PHP的Reverse Shell,使用nc监听端口。(PHP Reverse Shell不做展开)最后通过curl发送请求触发漏洞,获得Shell。
Privilege Escalation
在上面的过程中我们获得了Shell,但是Shell处于一个低权限的状态,下面通过一种方式提权。
通过查找具有粘滞位权限的命令,我们找到了cp这个命令。
我们通过将passwd文件cp至当前目录,并通过cat构造一个newpasswd文件,并将构造好的用户添加入newpasswd,再通过cp的粘滞位权限将其替换/etc/passwd进行提权。
需要注意的一点,hacker用户的密码需要自行按照当前系统所使用的密码编码生成,比如CentOS与Ubuntu所使用的hash算法不同,则不能相互识别。
提权成功。
关键词:
-
今日热讯:Vulnhub Bravery靶机 Walkthrough
BraveryRecon使用netdiscover对本地网络进行arp扫描。┌──(kali㉿kali)-[~]└─$sudonetdiscover-r192 168 80 0 24
来源: -
-
-
今日热讯:Vulnhub Bravery靶机 Walkthrough
焦点观察:69岁成龙说我还能打还能跳:是个奇迹
1999元神机诞生!Redmi Note 12 Turbo成了:用户好评率接近100%
天天快消息!Golang常用库之UUID
如何成为一名优秀的工程师?顶级程序员的5点建议
全球报道:曾称失控都是踩错单踏板!网友晒特斯拉新OTA 想要的制动恢复两档可选
全球播报:女子乘高铁把脚放前排乘客头上:狡辩称”鞋底不脏“
天天快资讯丨碱性食物有哪些_十大碱性食物排名
.Net Core Console&Generic HostBuilder
用阳光代替WiFi信号连网 沙特科学家这成果亮了
世界热点!【算法数据结构专题】「延时队列算法」史上手把手教你针对层级时间轮(TimingWheel)实现延时队列的开发实战落地(下)
世界速讯:电影《龙马精神》上映!刘德华清唱生日快乐歌祝福成龙
全球微动态丨连休5天!五一劳动节期间高速公路免费通行
口感自然 富含矿物质:依能天然苏打水2.3元(京东4元)
每日热议!博主带秤在淄博连逛10家店无缺斤少两:他很佩服
天天速递!投资者为何对苹果AR/VR设备没有信心?原因揭开
常州市天宁区人民检察院对一起拟不起诉案件公开听证
java -- 异常处理、Collection、Iterator迭代器、泛型
CentOS7-实现全网备份脚本
【天天报资讯】装机成本降了! 微星A620M-E主板到手799元:锐龙7 7800X3D绝配
关注:国宝熊猫回家记:丫丫要回来了
四川一麦田成网红打卡地:遭游客踩踏
windows提权
4799元 AOC新款27英寸电竞显示器上架:360Hz高刷、1ms响应
环球热议:没用的知识增加了!一图了解劳斯莱斯全部车型:最贵1.8亿
【天天速看料】王者荣耀镜取什么名字(王者镜的名字好听)
贵了2块钱 海底捞回应火锅小料涨价:门店自主定价
天天短讯!撤档一年半后 《超能一家人》定档7月21日:沈腾爆笑喜剧大片
时讯:科大讯飞刘聪:中国造大模型或在某些领域超越ChatGPT
世界视讯!pWnOS2
当前热文:python中shutil和shutil库的用法
Spring源码阅读系列--全局目录
今热点:郑州这些户籍室“周末无休”,周六日也能办理业务→
高校凌晨发录取通知要求半小时回复引热议 专家:不合理 好比半夜鸡叫
一口鲜气!春光0糖椰汁狂促:优惠30元到手仅需19.9
热资讯!定制纪念礼品瓷盘
MQ——消息积压如何处理
全球观点:Python 元编程
C++ 并发编程实战 第二章 线程管控
全球微速讯:gazebo小车模型(附带仿真环境)
今日快讯:哪吒纯电GT跑车遭贬低 CEO回应:就喜欢看不惯又干不掉我的样子
快资讯丨歪风盛行:日本将严惩暗拍空姐行为 违者将判处5年以下监禁或26万
999元起 中兴远航40上架:紫光展锐T760、10W快充
今日要闻!花枝招展
世界头条:浙江宁波空中突发巨响 官方回应:超高速飞行产生的音爆
当前观察:中兴Axon Pad官宣:四等宽窄边 支持一触互联
前沿资讯!百度:目前文心一言无官方App!已起诉苹果公司
世界百事通!海南航空恢复伦敦至长沙直航航线
啥事不干年薪130万:科技公司为何愿意“养闲人”?
今日最新!马斯克回应特斯拉降价:很多人有需求但买不起 只有降价才能满足需求
环球观速讯丨男子路边违停被查!司机竟掏出“联合国机动车驾驶证”
全球即时看!“云溪学子看云溪 云腾溪涌产业新”云溪区举行首届工业研学活动
环球观热点:《系列一》-- 4、xml配置文件解析之[默认]命名空间[标签]的解析
天天热推荐:面试题百日百刷-HBase中HTable API有没有线程安全问题,在程序是单例还是多例?
IPX6级防水防刮:宏碁墨尔本背包169元抄底(三种款式)
焦点快播:博主发薅高铁商务座羊毛攻略 20元享超VIP服务网友效仿:12306回应怒赞
环球快消息!平台回应机票一分钟三次变价:实时价格变动正常
英雄之光|陈旧的记录本 是他牵挂群众最温暖的见证
世界即时看!你的工资不能低于这数!31省份最低工资公布:时薪达标没
世界最资讯丨山东推出399元高铁环游套票:有效期5天、全省免费换乘
每日热议!DIY万能钥匙!主板检测灯你不得不懂
【焦点热闻】09款奥迪A4L标准型改装泪眼/导航作业
最新资讯:Docker-compose 到 Kubernetes 的迁移工具!
世界速看:全新深红配色亮相!iPhone 15 Pro超高清外观渲染图首曝:钛金属边框、Type-C接口
世界资讯:诈骗网红梅尼耶的MCN游良文化被申请破产:小刚学长等多位网红受骗
焦点速读:Java性能权威指南(第2版)读后总结与感想
动态:大学招聘体育老师 要求得过奥运冠军引热议:官方回应专业技能很重要
复星旅文2022年收入137.78亿元 徐晓亮:要尽快追回过去三年失去的业绩
【天天报资讯】K8S圣经12:SpringCloud+Jenkins+ K8s Ingress 自动化灰度发布
回顾、信号、flask-script、sqlalchemy介绍和快速使用、创建操作数据表
今日快看!ASP.NET Core MVC 从入门到精通之初窥门径
女主不够性感吗?《生化危机4重制版》发售两周狂卖超400万份:Steam好评如潮
Intel中国特供i5-13490F/i7-13790F闪电降价:性价比更神了!
天天看热讯:男人多次失恋后和娃娃订婚 还“生”了三个孩子
当年找抖音赔30亿的腾讯视频 这会儿怎么来世纪大和解了?
电视接口盘点 HDMI 2.1真的是刚需吗?
天天观点:罪恶都市任务攻略_侠盗飞车罪恶都市任务做完了怎么办
环球短讯!HRB500钢筋符号_HRB500的钢筋符号是什么 属于几级钢筋
热头条丨【调试】ftrace(三)trace-cmd和kernelshark
全球观天下!集成Unity3D到iOS应用程序中
环球视点!OpenCV获取相机旋转矩阵和平移矩阵
海信电视精简系统
【全球聚看点】试验设计课程作业
比亚迪海豹、长安深蓝SL03获央视第三届《中国汽车风云盛典》评委会大奖
诈骗网红梅尼耶的MCN被申请破产引热议 多位女网红等都受害:网友吐槽行业乱
世界即时看!女子开宝马占用商场特斯拉专用车位 被特斯拉怒堵2天
世界速递!2023.4.7【模板】快速沃尔什变换FWT
今日报丨面试题百日百刷-HBase HRegionServer宕机如何处理
第135篇:Three.js基础入门
每日消息!交易商协会评估更新定向债务融资工具专项机构投资人名单
美国3月非农就业人口增幅降至23.6万 失业率为3.5%
热文:构造柱的作用是什么_构造柱的作用
焦点热讯:网友称余额宝页面显示乱码 支付宝回应:正在修复 不影响资金安全
《龙马精神》电影中真打实摔 成龙:我69岁动作比你还快
热点!说十个需要送老婆礼物的节日
焦点观察:火热出炉 秘汁全鸡的数字新“味”
大阳睿能全新动力首款车型H12下线:电机1700W 续航150公里
249元 小米米家自动真空封口机发布:-70KPa大吸力
全球快资讯丨世界各地小孩的玩具对比:不止文化与财富的差距
当前动态:马斯克开源推特算法反被指责:隐藏重要细节、与承诺不符