Recon

这台靶机对枚举的要求较高,如果枚举不出有用的信息可能无法进一步展开,我们首先进行普通的扫描。

┌──(kali㉿kali)-[~/Labs/Joy/80]

└─$ sudo nmap -sS -sV -p- 192.168.80.136

Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-10 22:42 EDT

Nmap scan report for 192.168.80.136

Host is up (0.00064s latency).

Not shown: 65523 closed tcp ports (reset)

PORT    STATE SERVICE     VERSION

21/tcp  open  ftp         ProFTPD

22/tcp  open  ssh         Dropbear sshd 0.34 (protocol 2.0)

25/tcp  open  smtp        Postfix smtpd

80/tcp  open  http        Apache httpd 2.4.25

110/tcp open  pop3        Dovecot pop3d

139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

143/tcp open  imap        Dovecot imapd

445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

465/tcp open  smtp        Postfix smtpd

587/tcp open  smtp        Postfix smtpd

993/tcp open  ssl/imap    Dovecot imapd

995/tcp open  ssl/pop3    Dovecot pop3d

MAC Address: 00:0C:29:31:8C:D0 (VMware)

Service Info: Hosts: The,  JOY.localdomain, 127.0.1.1, JOY; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 13.69 seconds

Process

通过上面的信息,我们发现部分版本号,例如SSH为Dropbear sshd 0.34,还有ProFTPD,但我们不知道FTP服务的版本号,我们首先尝试FTP能否匿名登录。

我们在其中发现了一个叫directory的文件,下载打开后发现,里面有一个比较有价值的文件version_control。

但是我们现在无法得到该文件,我们再将眼光放回SSH服务,尝试搜寻SSH的漏洞进行利用(虽然我们能从searchsploit找到漏洞,但是无法成功利用)。

我们并没有对目标系统的端口进行完全的扫描,那么我们接下来对UDP端口进行扫描。

使用如下命令sudo nmap -sU -Pn -A --top-ports 20 --reason 192.168.80.136进行扫描。

在扫描结果中,我们找到了比较有意思的信息,snmp端口泄露了如下信息。

我们发现在tftp服务监听在UDP/36969端口上,并且工作在/home/patrick目录。我们尝试连接并获取之前想获得的文件。

获得文件后,我们查看文件。文件中我们获得了服务的版本号,其中ProFTPD的版本存在漏洞,而其他服务都无法进行有效利用。需要注意的是Webroot从/var/www/html移动到了/var/www/tryingharderisjoy。

我们可以使用Metasploit进行利用(也可以通过Github上的利用脚本手动利用)。查找漏洞利用模块,设置各项参数。

运行Exploit,获得非交互式Shell。

通过Python获得交互Shell。

在ossec目录下找到了敏感信息,patrick和root用户的账户名与密码,su切换到patrick用户。

发现我们可以通过sudo执行一个脚本文件。

但是我们无法直接访问到这个脚本文件,我们尝试运行这个脚本文件,改脚本可以根据需求修改权限,但好像并没有对输入做安全检查。

尝试输入一个空值,将script目录的权限放开。

成功,进入脚本目录,覆写脚本内容,提权。

Vulnhub Joy Walkthrough的更多相关文章

  1. HA Joker Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-joker,379/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.132Starti ...

  2. HA: ISRO Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-isro,376/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.131Startin ...

  3. LAMPSecurity: CTF6 Vulnhub Walkthrough

    镜像下载地址: https://www.vulnhub.com/entry/lampsecurity-ctf6,85/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202 ...

  4. Hacker Fest: 2019 Vulnhub Walkthrough

    靶机地址: https://www.vulnhub.com/entry/hacker-fest-2019,378/ 主机扫描: FTP尝试匿名登录 应该是WordPress的站点 进行目录扫描: py ...

  5. DC8: Vulnhub Walkthrough

    镜像下载链接: https://www.vulnhub.com/entry/dc-8,367/#download 主机扫描: http://10.10.202.131/?nid=2%27 http:/ ...

  6. HA: Infinity Stones Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-infinity-stones,366/ 主机扫描: 目录枚举 我们按照密码规则生成字典:gam,%%@@2012 cru ...

  7. Sunset: Nightfall Vulnhub Walkthrough

    靶机链接: https://www.vulnhub.com/entry/sunset-nightfall,355/ 主机扫描: ╰─ nmap -p- -A 10.10.202.162Starting ...

  8. Dc:7 Vulnhub Walkthrough

    靶机下载地址: https://www.vulnhub.com/entry/dc-7,356/ 主机扫描: http://10.10.202.161/ Google搜索下: SSH 登录 以上分析得出 ...

  9. AI: Web: 2 Vulnhub Walkthrough

    靶机下载链接: https://www.vulnhub.com/entry/ai-web-2,357 主机端口扫描: 尝试SQL注入,未发现有注入漏洞,就注册创建于一账户 http://10.10.2 ...

  10. AI: Web: 1 Vulnhub Walkthrough

    下载链接: https://www.vulnhub.com/entry/ai-web-1,353/ 主机发现扫描: 主机端口扫描 http://10.10.202.158/ 目录扫描: ╰─ sudo ...

随机推荐

  1. 乘积小于K的子数组

    乘积小于K的子数组 给你一个整数数组 nums 和一个整数 k ,请你返回子数组内所有元素的乘积严格小于 k 的连续子数组的数目. 示例 1: 输入:nums = [10,5,2,6], k = 10 ...

  2. 字符流---->字符过滤流 缓冲流 : -----> printWrite用法:和BufferedReader用法

    printWrite用法:1.创建字符节点流FileWriter fw = new FileWriter("Files\\bufchar.txt");2创建字符过滤流 PrintW ...

  3. C语言II—作业03

    1.作业头 这个作业属于哪个课程 https://edu.cnblogs.com/campus/zswxy/SE2020-3 这个作业要求在哪里 https://edu.cnblogs.com/cam ...

  4. java的3中代理模式

    代理模式是什么 代理模式是一种设计模式,简单说即是在不改变源码的情况下,实现对目标对象的功能扩展. 比如有个歌手对象叫Singer,这个对象有一个唱歌方法叫sing(). 1 public class ...

  5. 正向代理和反向代理和spring的动态代理模式有几种?默认是那种?如何切换?

    spring的动态代理模式有几种?默认是那种?如何切换? spring的动态的代理模式有两种 JDK动态代理,基于接口(默认代理模式),CGLIB动态代理(若要使用需要进行配置) JDK动态代理是由j ...

  6. MySQL数据库sql_mode导致varchar字段超过长度被截断插入

    django数据库设置sql_mode MySQL的sql_mode解析与设置 mysql中sql_mode的修改 sql_mode:它定义了MySQL应该支持的sql语法,对数据的校验等等. 问题 ...

  7. Delphi数据库备份

    此处代码只是测试代码,仅仅是测试 //环境:D7+SQL Server 2008 1 unit Unit1; 2 3 interface 4 5 uses 6 Windows, Messages, S ...

  8. 2020/03/24 HTML基础复习笔记

    2020-03-24 15:49:30 下午好! 这是我开通博客的第二天也是在钉钉上网课的又一天,为了应对考试现在复习到了HTML基础知识,本打算用VS敲想了想还是用了XMind(真的好用!!!)文件 ...

  9. Java简单认识及环境下载

    Java的特性和优势 简单性 面向对象 可移植性 跨平台性 write once run anywhere 高性能 分布式 动态性 反射 多线程 安全性 健壮性 Java三大版本 JavaSE:标准版 ...

  10. 简单的python格网算法算数据密集度demo

    # 格网算法计算数据集区域数据密集度 import time import random import numpy as np import pandas as pd # 模拟数据集 def crea ...