环境搭建
VulnHub是一个丰富的实战靶场集,里面有许多有趣的实战靶机。
本次靶机介绍:http://www.vulnhub.com/entry/gigachad-1,657/
下载靶机ova文件,导入虚拟机,启动环境,便可以开始进行靶机实战。
虚拟机无法分配IP处理办法
VulnHub的靶场虚拟机环境可能会出现无法分配到ip的情况,这里需要做如下配置处理:
第一步,进到这个界面时按e
![图片[1]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531011_604b0c033a49079420937.png)
第二步,将此处的ro替换为rw signie init=/bin/bash
![图片[2]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531011_604b0c03a254106a551d2.png)
![图片[3]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531012_604b0c042338593d4cd30.png)
第三步,按下Ctrl+ x,进入命令行模式
![图片[4]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531012_604b0c04a18e6e942fbdb.png)
输入命令ip a查看ip状态
![图片[5]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531013_604b0c0526dbed5c3bd95.png)
查看网卡配置文件vi /etc/network/interfaces
![图片[6]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531013_604b0c059a57392400931.png)
发现配置文件的网卡名称与实际的不符,将其改为实际的网卡名称,保存退出
![图片[7]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531014_604b0c062043a5169ed38.png)
重启网络服务 /etc/init.d/networking restart
![图片[8]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531014_604b0c06881916c0ce815.png)
此时查看ip状态发现已经正常可以获取到ip
![图片[9]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531014_604b0c06ed11061d0251f.png)
最后重启虚拟机,配置完毕。
GETSHELL过程
环境配置完成后,我们需要探测出靶机的ip地址,使用nmap快速探测C段(这里使用NAT模式打开虚拟机,因此靶场地址必定在指定的C段中)
nmap -sn -v -n --min-hostgroup 1024 --min-parallelism 1024 -PE 192.168.157.0/24
![图片[10]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531015_604b0c076755b57f4be67.png)
得到靶机ip:192.168.157.154(133是攻击机地址),此时我们进行端口探测
nmap -sS -p 1-65535 -v --min-parallelism 1024 -Pn --open 192.168.157.154
![图片[11]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531015_604b0c07ca8cb1104b32e.png)
开放了21、22、80等端口,我们先从80端口尝试突破,浏览器访问:
![图片[12]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531016_604b0c08820b5794e89d8.png)
首页没有太多有用的信息,我们右键查看源代码,在底部发现两串MD5:
![图片[13]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531017_604b0c095c9684feea579.png)
尝试解密一下:
![图片[14]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531017_604b0c09d2d5686901973.png)
![图片[15]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531018_604b0c0a466f21156b5e1.png)
(出题归出题,骂人就是你的不对了呀大兄弟)得到字符串VIRGIN,添加到路径中访问一下,提示404 NOT FOUND,改成小写再次访问
![图片[16]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531018_604b0c0ab5f141f1b8d8f.png)
![图片[17]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531019_604b0c0b6d9a49dcac1af.png)
得到了这么一个页面,似乎用处也不大,先祭出目录扫描器扫一下,然后我们访问一下robots.txt
![图片[18]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531020_604b0c0c0564447e58346.png)
继续访问/kingchad.html
![图片[19]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531020_604b0c0c82632b6b6e92f.png)
这个憨憨竟然打电话给军情六处了?!看了一眼目录扫描结果,全都是那个用代码画的人脸,没有有用的信息,只能暂时先放弃web了。
web无法突破,我们打算从ftp入手,掏出top2w字典,弱口令爆破尝试:
![图片[20]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531021_604b0c0d75016d9b5c1a3.png)
本以为是个弱口令,后来发现是个空口令(手动汗颜!),FileZilla连一下,发现一个文件:
![图片[21]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531021_604b0c0dec7fc45ee7302.png)
下载回来,记事本打开发现PK头,改后缀为rar,打开发现文本文件
![图片[22]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531022_604b0c0e5a8517c09715e.png)
![图片[23]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531022_604b0c0eda6cbb614a506.png)
![图片[24]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531023_604b0c0f617d84a9ddfa7.png)
这里得到提示,用户名chad,访问图片地址:
![图片[25]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531024_604b0c101ad2067f7e5b5.png)
根据图片提示得知密码就是该建筑的名称,百度识图一下:
![图片[26]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531027_604b0c1375820c25ffd90.png)
得知建筑名为女儿塔,百度其英文名:
![图片[27]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531028_604b0c1436c33da654d6b.png)
Maiden’s Tower尝试用此密码登录ssh发现失败,后来尝试了几种组合发现密码为 maidenstower,成功连接ssh:
![图片[28]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531028_604b0c14bcc40f9f47d53.png)
查看桌面文件
![图片[29]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531029_604b0c152f39dc7799e53.png)
user.txt中发现第一个flag:
![图片[30]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531029_604b0c159119b5b5e2dbe.png)
想必第二个flag就必须要提权了,先看下内核:
![图片[31]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531029_604b0c15f0d5d83098f1e.png)
2020年的内核,告辞!尝试使用suid提权,查看设置了suid的程序:find / -perm -u=s -type f 2>/dev/null
![图片[32]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531030_604b0c166c887e62a52d0.png)
发现s-nail,尝试利用该程序提权(为什么选择该程序?别问,爱过!)Exploit-db 找下漏洞EXP
![图片[33]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531030_604b0c16cd9fc8d581e5d.png)
![图片[34]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531031_604b0c1763987c0c7cdac.png)
将EXP拷贝到靶机中,并赋予执行权限:
![图片[35]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531032_604b0c18276f4dcac69ae.png)
执行exp,成功提权(这里会失败,多打几次就成功了)
![图片[36]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531032_604b0c189d1fe8b9db7c1.png)
root桌面找到第二个flag
![图片[37]-VulnHub靶场渗透之:Gigachad – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210312/1615531033_604b0c192f19fc12bfb7a.png)
至此两个flag都已经找到,渗透完结。
来源:freebuf.com 2021-03-12 14:37:39 by: 公众号黑客前沿
请登录后发表评论
注册