本来懒得写,但是写完搜了一下发现这个靶机的笔记比较少,就发出来供大家参考。
本人巨菜,轻喷。
准备
靶机Cheesey: Cheeseyjack×1
渗透机kali 2021.2×1 和靶机在同一网段
信息搜集
打开靶机,看一下mac地址。
![图片[1]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234337_60fda02190d40ad8f8843.png)
扫描内网,根据mac地址判断渗透靶机的ip。
arp-scan -l
![图片[2]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234369_60fda0418b6f678c386be.png)
nmap信息探测。
nmap -sS -sV -A -Pn -n -p- 192.168.55.134
![图片[3]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234441_60fda0898a8869e6ed37d.png)
![图片[4]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234457_60fda09998ef8c62f63c6.png)
![图片[5]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234475_60fda0aba3a8fc6f098ed.png)
开了不少端口,先记着。web服务开着,去瞅一眼。
![图片[6]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234522_60fda0da3b77173a261aa.png)
随便点点,这个网页上还有一些信息,也要收集起来。
接下来试着用gobuster扫一下看看(基于go语言的扫描器,高速好用!)
gobuster dir -u http://192.168.55.134/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30
![图片[7]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234945_60fda28100606f9d707ad.png)
![图片[8]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234956_60fda28cebb2f86bcb1d2.png)
扫到的地址去访问看一下
/project_management目录是后台登录界面
![图片[9]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627234985_60fda2a98e6d5e116cf1e.png)
/it_security目录这个目录藏着一个文档
![图片[10]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235039_60fda2dfbc9246cd64581.png)
打开看一下。
![图片[11]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235062_60fda2f69e23bb0137775.png)
吐槽密码设置的太简单了,应该就是弱口令。先把这个信息收集起来。
扫一下这个后台登录界面,看看有什么东西。
gobuster dir -u http://192.168.55.134/project_management -w usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30
![图片[12]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235121_60fda331264cebc6f9570.png)
访问一下。
![图片[13]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235147_60fda34b15242ed763779.png)
在/project_management/core/config的databases.yml发现了点信息。不管有用没有,收集起来再说。
![图片[14]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235174_60fda36630a5ef0182a4e.png)
接着试着用enum4linux看看能不能收集到啥【enum4linux是Kali Linux自带的一款信息收集工具】
enum4linux 192.168.55.134
![图片[15]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235202_60fda382e8915d6929d38.png)
收集到了两个用户,很重要!记起来!
ch33s3m4n
crab
![图片[16]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235242_60fda3aa317e415dcfcb6.png)
结合刚才收集到的信息来看
1.密码弱口令
2.登录邮箱的格式就是网页Contact me给出的格式
3.邮箱是两个用户名其中的一个
经过几番尝试后,成功登入。
用户:[email protected]
密码:qdpm #就是那个CMS的名字,登录界面有显示。
提权
![图片[17]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235309_60fda3edeb7e592876878.png)
登录后发现有一处文件上传,而且毫无限制,那还等什么?直接安排上!!
![图片[18]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235324_60fda3fc89274be242eb8.png)
我这里上传的是一个反弹shell脚本。去搜一下都能找到,我就不贴出来了。
![图片[19]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235345_60fda41188695a2e44d7e.png)
上传后,kali开启监听端口
nc -lvvp 1111
![图片[20]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235376_60fda430e1567d5838752.png)
刚才收集到了uploads文件夹,找到shell.php点击即可。
![图片[21]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235392_60fda4404fe895af96645.png)
链接成功了
![图片[22]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235412_60fda454af5e17ea2ddec.png)
因为自带有python3环境【可以用which python找路径】
所以这里还可以打一个反弹shell
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
这回去crab那里看一下。
![图片[23]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235463_60fda487428794a0e5f6a.png)
发现了一个todo.txt 打开获得了一点小提示
1. Scold cheese for weak qdpm password (done)
2. Backup SSH keys to /var/backups
3. Change cheese’s weak password
4. Milk
5. Eggs
6. Stop putting my grocery list on my todo lists
直接枚举/var/backups的所有内容,发现里面有一个ssh的备份
![图片[24]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235550_60fda4de36dcdc56343ce.png)
复制粘贴,然后放到文本里
![图片[25]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235643_60fda53bb5837062df330.png)
另开一个终端,修改权限,注意必须是600!
修改权限后,ssh链接。
ssh -i sshkey [email protected]
![图片[26]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235616_60fda52027c03f2232bb6.png)
很明显接下来要提权了,直接sudo -l查看权限
![图片[27]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235699_60fda57385510f82d794c.png)
可以发现/home/crab/.bin/就是突破点。crab可以用sudo在这个目录运行所有的内容
![图片[28]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235720_60fda5880647eb7b1fcec.png)
只要它在 /home/crab/.bin这个目录里,就可以以 root 身份运行
确定目标后提权就简单了,把bash shell复制到这个目录下,然后用sudo临时运行 bash,就可以获得root权限了
【这里也可以选择创建一个shell】
cp /bin/bash /home/crab/.bin/bash
sudo /home/crab/.bin/bash -p
![图片[29]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235747_60fda5a3dc9a9e8d8304d.png)
导航到根目录,发现有个root.txt。打开即可获得flag
![图片[30]-靶机Cheesey:Cheeseyjack渗透记录 – 作者:暮色夜想Twi1ightNight-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210726/1627235894_60fda63671b1b403fb60f.png)
至此,渗透结束。
靶机相对来讲不算难,不过信息收集十分重要。
来源:freebuf.com 2021-07-26 02:15:53 by: 暮色夜想Twi1ightNight
请登录后发表评论
注册