当前位置: 首页 > article >正文

vulnhub靶场之stapler靶机

前言

靶机:stapler靶机,IP地址为192.168.10.12

攻击:kali,IP地址为192.168.10.6

靶机采用virtualbox,攻击机采用VMware虚拟机,都采用桥接网卡模式

文章涉及的靶机及工具,都可以自行访问官网或者项目地址进行获取,或者通过网盘链接下载 https://pan.quark.cn/s/ee513814fee2

主机发现

也就是相当于现实环境中去发现确定主机的ip地址,因为这里是靶机环境,所以跳过了从域名到ip地址的过程。

使用arp-scan -l或者netdiscovery -r 192.168.10.1/24

当然也可以使用nmap等工具进行

netdiscover -r 192.168.10.1/24

信息收集

使用nmap扫描目标端口等信息

首先扫描目标的tcp端口的开放情况

nmap -sT --min-rate=1000 192.168.10.12 -p- -oA nmap-tcp

再扫描udp端口的开放情况

nmap -sU --min-rate=1000 192.168.10.12 --top-ports 20 -oA nmap-udp

可以看到明确开放的udp端口没有,所以下面对tcp端口进行一个筛选

ports=`grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','`

进一步对这些端口进行服务、系统等探测

nmap -sV -O -sC 192.168.10.12 -p $ports --min-rate=1000 -oA detail

再使用nmap的漏洞检测脚本对这些端口进行探测

nmap --script=vuln 192.168.10.12 -p $ports -oA vuln

信息小结:

端口服务版本
21ftpvsftpd 2.0.8
22sshopenssh 7.2p2
53domaindnsmasq 2.75
80httpphp cli server 5.5
139sambasmbd
666
3306mysqlmysql 5.7.12
12380httpapache httpd 2.4.18

FTP信息探测

使用anonymous匿名空密码登录

ftp anonymous@192.168.10.12
ls -la
get note

查看note,又有发现

信息小结,获取三个用户名

harry
elly
john

SMB探测

使用enum4linux探测服务

enum4linux 192.168.10.12 -a

可以看到有几个共享

以及一堆用户名

或者使用nmap的脚本进行探测

nmap --script=smb* 192.168.10.12

共享出的一样,只是这里明确列举出了共享中的文件

使用smbclient查看或者连接也行

smbclient -L //192.168.10.12

使用smbclient连接kathy共享

smbclient //192.168.10.12/kathy -N

smb: \> prompt		#关闭交互
smb: \> recurse		#开启递归
smb: \> mget *		#下载所有

再连接tmp共享,下载所有文件

smbclient //192.168.10.12/tmp -N

smb: \> prompt		#关闭交互
smb: \> recurse		#开启递归
smb: \> mget *		#下载所有

查看文件构造,发现一个压缩包,一个txt文件

查看相关文件,发现一个用户名kathy,以及wordpress的备份文件

#解压文件
tar -zxf wordpress-4.tar.gz

不过查看了很久,并没有发现连接数据库的配置文件

查看ls文件,发现只是一种记录

信息小结:

获取众多用户名,把前面获取的用户名都放在一起,做成字典

peter
RNunemaker
ETollefson
DSwanger
AParnell
SHayslett
MBassin
JBare
LSolum
IChadwick
MFrei
SStroud
CCeaser
JKanode
CJoo
Eeth
LSolum2
JLipps
jamie
Sam
Drew
jess
SHAY
Taylor
mel
kai
zoe
NATHAN
www
elly
kathy
harry
john

网站信息探测

访问80端口的网站

并没有发现东西,并且页面源代码也没有内容

使用gobuster等工具进行目录爆破

gobuster dir -u http://192.168.10.12 -w /usr/share/wordlists/dirb/big.txt -b 404 -x php,html,txt,md       

访问这两个发现直接下载,并且这两个文件,一般是在某个用户的主目录下的,猜测这个网站,可能就是以某个用户的主目录为网站目录的

在测试.ssh/id_rsa无果后,暂且搁置该网站

访问12380网站

可以看到,主界面没有任何内容,并且页面源代码中也没有内容

使用dirb进行网站扫描,没有出现任何内容

dirb http://192.168.10.12:12380

密码爆破

目前只有大量的用户名,并没有其他东西,以之前整理后的user,进行密码爆破

hydra -L username -P /usr/share/wordlists/fasttrack.txt 192.168.10.12 ssh

爆破出三个,随便以这用户进行登录,发现基本上没有什么内容,并且用户众多

一个个访问这些目录,只有在JKanode用户的目录下,发现命令历史记录中具有信息

sshpass -p thisimypassword ssh JKanode@localhost
sshpass -p JZQuyIN5 peter@localhost

经测试,上面这两个可以作为ssh登录,这里开始整理信息

用户名密码
MFreiletmein
CJoosummer2017
Drewqwerty
JKanodethisimypassword
peterJZQuyIN5

这里查看网站,发现在/var/www/https/blogblog/wp-config.php的配置文件,有连接数据库的配置

发现密码plbkac,并且连接数据库的是以root执行的

查看wordpress数据库,发现其中的一些用户,不过都是加密处理的,不知道其算法

提权

这里可能存在mysql udf提权,但是这里测试发现,不想,因为mysql版本大于5.0,并且插件的所在路径对于非root用户没有写入权限,所以无法提权

从前面所有用户下手,并且使用find寻找具有SUID权限的文件

不过最终只有在peter用户不一样,登录界面就不同

peter使用sudo -l发现完全ok

直接sudo /bin/bash -p提权

查看最终flag

总结

该靶机主要就是枚举,枚举,枚举!!!!

  1. FTP服务的匿名探测
  2. SMB服务的用户名枚举
  3. SSH服务的暴力破解
  4. 靶机内信息收集,找到的密码
  5. 最终提权,就是不同用户直接的切换

http://www.kler.cn/a/586697.html

相关文章:

  • MIDI,AI 3D场景生成技术
  • Audacity 技术浅析(一)
  • [CISSP] [3] 人员安全与社会工程
  • 原生微信小程序实现导航漫游(Tour)
  • 农作物病害数据集
  • 性能优化:javascript 如何检测并处理页面卡顿
  • A SURVEY ON POST-TRAINING OF LARGE LANGUAGE MODELS——大型语言模型的训练后优化综述——第2部分
  • 模型评估指标详解:分类与回归场景
  • 基于SpringBoot+Vue的毕业论文管理系统+LW示例参考
  • 【NLP】 5. Word Analogy Task(词类比任务)与 Intrinsic Metric(内在度量)
  • 微信小程序面试内容整理-JSON
  • 【c++】【线程】【信号量】三个线程顺序打印1--100
  • docker pull 镜像问题
  • 【Rust交叉编译】在x86_64架构下交叉编译aarch64-linux-musl版的rust-opencv
  • 面向工业与汽车领域的高安全可靠MCU——AS32X601系列芯片解析
  • 斯坦福:通过认知行为改进LLM推理
  • java设计模式面试题3道
  • 高级java每日一道面试题-2025年2月18日-数据库篇-MySQL 如何做到高可用方案?
  • Java开发之数据库应用:记一次医疗系统数据库迁移引发的异常:从MySQL到PostgreSQL的“dual“表陷阱与突围之路
  • 串排序(信息学奥赛一本通-2048)