对于该靶机,注意利用了信息收集来的21端口和80端口,网站源码发现账户,ftp匿名登录密码猜测,维吉尼亚解密,后台管理员登录,CVE文件上传RCE漏洞利用反弹shell,提权有两中,利用版本内核提权和查看泄露的信息一步步提权,最终利用suid下的find命令提权

一、靶机搭建

选择打开选项

选中下载的ova文件,然后导入选择一个存放路径即可

二、信息收集

靶机信息

Name: Venom: 1

Date release: 24 May 2021

难度:中级

描述:这台机器是为OSCP准备而创建的。这个盒子是用virtualbox创建的。如有任何疑问,请在推特上联系我:@avi0813。枚举是关键。

扫ip

靶机ip:192.168.108.156

扫开放端口和服务

可以看到端口数量,但是22端口和7070,8084端口是关闭

指纹探测

执行以下命令

nmap 192.168.108.156 -p 21,22,80,446,7070,8084 -sV -sC -O --version-all

目录扫描

dirsearch扫描,没什么泄露信息

然后dirb扫描

三、Web渗透

信息收集

21端口,可以尝试ftp连接,需要账户密码

80和443端口

看看源码,发现一个hash值

解密成功:hostinger

没什么头绪了,看看历史漏洞,发现一个命令执行漏洞

下载下来看看,尝试利用但是不成功

ftp匿名登录

ftp连接一下,用户名为源码泄露1的那个,发现需要密码,尝试密码和用户名一致,成功进入

找一找可以利用的,发现一个文件

切换路径到/files,然后使用get命令下载文件到本地

bye退出

查看该文件,得到提示

翻译一下看看

整理一下:

你需要利用"hostinger"   #可能是什么关键东西

需要一些密码知识来解码dora密码。。  #可能是用户名

主机:venom.box  #一个网站

密码:xxxx  解开及是管理员密码

先解码第一个,经过两次base64解码,得到一个提示,标准的维吉尼亚密码

解密第二个,得到一个解码网站:https://cryptii.com/pipes/vigenere-cipher

访问该网站,密钥设置为上面的关键字

密文:L7f9l8@J#p%Ue+Q1234  明文:E7r9t8@Q#h%Hy+M1234

CVE-2018-29422文件上传RCE漏洞

venom.box网站设置域名解析

点击此处

一个登录界面,发现系统版本,Subrion CMS v4.2.1

查找历史漏洞,发现一个文件上传RCE漏洞

下载下来查看

参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE

sudo python3 49876.py -u http://venom.box/panel/ -l dora -p E7r9t8@Q#h%Hy+M1234

可以拿到shell,但是无法切换成交互模式

换另一种方式,登录管理面板,密码为维吉尼亚解密密码

成功登录,是管理员,点击设置查看

进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点

发现此处,可以进行文件上传

点击该处可以上传

先上传一个txt文件试试,上传成功

上传一个php文件,上传之后无法访问,应该是被过滤

track

<?php system($_GET["a"]); ?>

可以看到路径

由于上面漏洞利用代码给了地址,访问一下,可以看到需要使用pht或phar后缀上传

exp文章:https://github.com/intelliants/subrion/issues/801

在这个网站生成反弹shell:https://www.ddosi.org/shell/

新建.pht文件然后上传即可,访问该路径

攻击机开启监听,反弹成功

四、提权

先切换为交互模式

查看suid权限

查看内核版本,发现Ubuntu 18.04

CVE-2021-3493 内核版本提权

搜索历史漏洞

下载下来查看

给了使用方法

开启web服务在靶机下载该脚本

执行不成功,赋予权限后也是如此

在该网站成功找到exp

exp文章:https://github.com/briskets/CVE-2021-3493

下载到kali

开启web服务并使用wget命令下载到靶机,赋予权限并编译,然后执行

提权成功,进入/root目录,发现flag

SUID提权

进入/home目录,然后查看,发现两个文件,先看第一个

没有什么可用信息

看另一个文件,权限不够,无法查看,看来还有隐藏信息

进入存放网站源码的文件,大家在刷靶场或者遇到一些框架型漏洞,在拿到shell后可以进入源码存放文件下查看,往往容易出现信息泄露

发现一个subrion文件夹,应该是管理系统的源码,查看,发现系统备份文件,查看

发现.htaccess文件

看样子应该是拿到信息泄露了

FzN+f2-rRaBgvALzj*Rk#_JJYfg8XfKhxqB82x_a

想起来之前切换另一个文件夹权限不足,可能是它的密码,su登录,成功

因为有了密码,所以第一想法看看无权限执行命令,发现su命令可以用

但是利用不成功

查看SUID权限,发现find命令可以用

ok,打开我们的https://gtfobins.github.io网站,看看利用方式

直接执行即可

Vulnhub-venom的更多相关文章

  1. vulnhub靶场之VENOM: 1

    准备: 攻击机:虚拟机kali.本机win10. 靶机:Venom: 1,下载地址:https://download.vulnhub.com/venom/venom.zip,下载后直接vbox打开即可 ...

  2. venom结合Metasploit绕过360安全卫士

    原理:msfvenom是msfpayload和msfencode的结合体,利用msfvenom生成shellcode,venom生成工具使用了 一些 Veil-Evasion.py, unicorn. ...

  3. vulnhub writeup - 持续更新

    目录 wakanda: 1 0. Description 1. flag1.txt 2. flag2.txt 3. flag3.txt Finished Tips Basic Pentesting: ...

  4. 利用meterpreter下的Venom免杀后门

    转载请注明作者:admin-神风 下载地址:https://github.com/r00t-3xp10it/venom .从Github上下载框架: tar.gz OR zip OR git clon ...

  5. Vulnhub Breach1.0

    1.靶机信息 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/C ...

  6. Venom的简单使用

    工具地址:https://github.com/r00t-3xp10it/venom 打开到venom目录,输入./venom.sh 打开程序 按回车键继续 这里有很多的模块,要用哪个模块就输入它的编 ...

  7. HA Joker Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-joker,379/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.132Starti ...

  8. HA: ISRO Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-isro,376/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.131Startin ...

  9. LAMPSecurity: CTF6 Vulnhub Walkthrough

    镜像下载地址: https://www.vulnhub.com/entry/lampsecurity-ctf6,85/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202 ...

  10. Hacker Fest: 2019 Vulnhub Walkthrough

    靶机地址: https://www.vulnhub.com/entry/hacker-fest-2019,378/ 主机扫描: FTP尝试匿名登录 应该是WordPress的站点 进行目录扫描: py ...

随机推荐

  1. Qt开发经验小技巧241-245

    QString类是我个人认为Qt所有类中的精华,封装的无可挑剔.内置了各种进制数据的转换,比如将数据转成10进制.16进制显示,或者将10进制.16进制数据转成字符串显示.这里很容易忽略的一点就是,很 ...

  2. Opencv 中 Mat中元素的值读取方法总结

    1.利用 at 函数读取 (1)单通道图像读取方式 Mat img1 = imread(filename,IMREAD_GRAYSCALE); for( size_t nrow = 0; nrow & ...

  3. 《计算机体系结构与SoC设计》(二)

    1. 多指令流单数据流 多指令流单数据流(Multiple Instruction Stream, Single Data Stream,简称 MISD)是一种处理器设计概念,它允许处理器在单个时钟周 ...

  4. [.NET] 使用客户端缓存提高API性能

    使用客户端缓存提高API性能 摘要 在现代应用程序中,性能始终是一个关键的考虑因素.无论是提高响应速度,降低延迟,还是减轻服务器负载,开发者都在寻找各种方法来优化他们的API.在Web开发中,利用客户 ...

  5. bitset 学习笔记

    引入 顾名思义, \(\texttt{bitset}\) 是用 \(\texttt{bit}\) 组成的 \(\texttt{set}\); 区别于普通的 \(\texttt{bool []}\) 或 ...

  6. Python库房管理系统开发指南

    在现代仓储管理中,高效.准确的信息系统是提高运营效率的关键.Python作为一种强大且易于学习的编程语言,非常适合用来开发简易而功能齐全的库房管理系统.本文将详细介绍如何使用Python编写一个基本的 ...

  7. python实现excel数据处理

    python xlrd读取excel(表格)详解 安装: pip install xlrd 官网地址: https://xlrd.readthedocs.io/ 介绍: 为开发人员提供一个库,用于从M ...

  8. 一些devops、软件工程的个人感悟

    1.devops不是简单的工具,是思想. (1)devops核心在于快速编译构建.自动测试化.自动部署发布 (2)工具只是辅助手段,无论是Jenkins.腾讯蓝盾等等,甚至是手动bat+bash搭建, ...

  9. docker中创建容器时文件挂载和端口映射命令与首次登录官方mysql的参数

    docker run -itd --name nginx-08 -v /local_data2:/data/nginx/html -p 12000:80  nginx:1.18.0 docker ru ...

  10. 0101-win10 jkd配置注意事项

    更换新的电脑预装win10家庭版,根据常规方法配置jdk8后运行javac提示:不是内部或外部命令,也不是可运行的程序或批处理文件. 1 设置变量classpath时前面有个点(完成这一步后javac ...