【MinU:2渗透笔记】

目录

1.前言

2.MinU:2渗透笔记

3.网络扫描

4.目录爆破

4.1dirb 目录爆破

4.2 dirsearch 目录爆破

5.SVG造成XXE

6.提权

7.结语

---

1.前言

本文仅用于技术讨论与研究，不做任何导向，对于所有笔记中复现的这些终端、服务器或者实验环境，均为自行搭建的公开靶场，请勿在现实环境中模仿，操作。本文涉及到的工具，仅就用到的方面做简要描述，如果想了解更详细的信息，请自行参阅其他技术资料。如果列出的技术用于其他任何目标，作者概不负责。

2.MinU:2渗透笔记

镜像下载地址：https://download.vulnhub.com/minu/MinUv2.ova.7z。

难度：简单/中等

镜像下载完成解压后使用VirtualBox导入，网卡1选择桥接模式，关闭网卡2，开启靶机，目标是获取root目录下的flag。

靶机IP：192.168.1.114

本机kali IP：192.168.1.113

3.网络扫描

nmap  -A  192.168.1.114

查看目标主机是否在线，开放了那些端口，提供了那些服务及版本，可以知道目标主机可能使用了那些软件及版本，根据不同的软件查找漏洞或突破点。

发现系统是linux，开放了22、3306端口，22端口为ssh服务，使用的是OpenSSH 8.0，3306端口为mysql的默认端口，但是返回报错了。仔细查看3306的返回内容发现了HTTP/1.1、html、head等等，是HTTP服务的返回内容，怀疑3306端口提供的是HTTP服务并不是mysql，使用浏览器访问，端口指定为3306。

通过浏览器访问目标机器3306端口。

 正常web页面，确认3306端口提供的是HTTP服务，没有发现其他有用的信息。

4.目录爆破

4.1dirb 目录爆破

靶机存在web网站，猜测服务端是一定有目录的，可以试一下目录爆破，这里使用dirb，

dirb 192.168.1.114:3306

没有扫到东西，换dirsearch试试。

4.2 dirsearch 目录爆破

直接使用dirsearch 目录扫描工具。

dirsearch -u http://192.168.1.114:3306

扫到了一个页面/upload.html。dirb没扫描到，dirsearch可以扫到东西，主要原因是它们自带的字典不一样，不论是密码爆破还是目录爆破有一个好用的字典是核心。

访问 http://192.168.1.114:3306/upload.html。显示如下图

从页面中看到upload界面，提示可以上传图片去查看。这里可能存在文件上传漏洞。右键查看网页源码，发现只能上传svg图片。

找张svg图片上传试试，正常显示。

5.SVG造成XXE

观察到只能上传SVG文件，SVG(Scalable Vector Graphics)是一种基于XML的二维矢量图格式，和我们平常用的jpg、png等图片格式不同的是，SVG图像在放大或改变尺寸的情况下其图形质量不会有所损失，并且我们可以使用任何的文本编辑器打开SVG图片并且编辑它，目前主流的浏览器都已经支持SVG图片的渲染。SVG是基于XML的矢量图，因此可以支持Entity(实体)功能，也就可能造成XXE。

Xml外部实体注入漏洞（XML External Entity Injection）简称XXE，XXE发生在程序解析XML输入时，产生的原因是应用程序解析XML时，没有过滤外部实体的加载，导致可以构造加载恶意外部文件，进而通过恶意外部文件对服务器进行攻击，造成命令执行、任意文件读取、内网扫描、内网应用攻击、DoS攻击等危害。

我们构造一个svg文件，在编辑器中输入

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:///etc/passwd" >
]>
<svg height="1000" width="1000">
  <text x="100" y="20">&file;</text>
</svg>

保存为后缀svg文件。上传保存的svg文件。

 右键查看网页源码能看到返回的/etc/passed 完整内容。至此我们确认靶机存在本地文件包含漏洞（LFI），泄露了敏感文件。

 /etc/passwd文件是系统用户配置文件，存储了系统中所有用户的基本信息，所有用户都可以对此文件执行读(r)操作。

在返回内容中我们观察到存在超级用户root，普通用户employee,都存在密码，密码文件在/etc/shadow文件中，此文件只有root用户可以读写。默认shell都是/bin/ash。

root:x:0:0:root:/root:/bin/ash
employee:x:1000:1000:Linux User,,,:/home/employee:/bin/ash

现在我们知道了用户名，如果我们能得知其中一个用户的密码就可以登录。可以试试密码的爆破。或者如果我们能写文件，我们可以把创建的密码写入文件。但是们现在只能读文件，不能写文件。我们继续进行信息收集，看看是否能进一步获得信息。

我们知道有bash、csh、zsh。但是这里的默认shell是ash，我们搜集下它的信息。通过Google知道类似bash存有历史命令记录在用户目录的.bash_history文件中，ash也有同样的文件在.ash_history。我们通过修改上述的svg文件，获取靶机对应用户的历史命令记录看看。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:home/employee/.ash_history" >
]>
<svg height="1000" width="1000">
  <text x="100" y="20">&file;</text>
</svg>

在burp中改包请求后返回如下，我们得知employee用户使用过命令useradd -D 变更预设值，-p 密码，密码是superultrapass3。即我们获得了靶机的一个账号名/密码：employee/superultrapass3

使用账号名employee/superultrapass3 通过ssh连接靶机成功。

6.提权

以上步骤已经获得了目标系统的用户权限，但是不是管理员权限，我们期望获得管理员的权限，完全控制目标机器。

我们现在能读取/etc/passwd文件但是不能写，想写入创造的超级用户信息。

Linux系统里面有SUID权限的概念，当一个具有执行权限的文件设置SUID权限后，用户执行这个文件时将以文件所有者的身份执行。可执行文件/usr/bin/passwd所属用户是root（UID为0），此文件被设置了SUID权限。当一个UID为1000、GID为1000的用户执行此命令时，产生的进程RUID和RGID分别是1000和 1000，EUID是0、EGID是1000。user1用户登陆，取得了一个bash的shell类型。然后执行passwd命令。在这个命令执行过程中，执行命令的身份被切换成了root用户。在用户权限上有一个s，这就是说明该文件设置了SUID权限。也就是说在普通用户在执行passwd命令的时候是使用root的身份。

我们在系统里面查找一下这样的文件，

 find / -perm -u=s -type f 2>/dev/null  

在跟目录下迭代查找用户权限为s的普通文件并过滤标准错误输出。

/bin/bbsuid 实际上就是passwd。我们观察micro，具有s权限，而且其他用户对它有执行权限。我们运行micro。发现是一个文本编辑器，右下角有说明，帮助是F1，按F1看看它的帮助文档，退出是Ctrl+q。

我们用它来编辑/etc/passwd，写入我们创造的用户。

首先用openssl以myroot为用户名，mypasswd为密码创造个用户。

openssl passwd -1 -salt myroot mypasswd 

返回密码密文是

$1$myroot$GnZc9yty.PKbdedmcw/in.

按照/etc/passwd文件格式组装一个用户信息。

myroot:$1$myroot$GnZc9yty.PKbdedmcw/in.:0:0:myroottxt:/root:/bin/ashh

用命令 cat /etc/passwd | micro 把我们组装的信息添加到最后一行。按Ctrl+w保存，输入文件名，使用绝对路径。

 注意添加到passwd文件信息最后的ashh有两个h，经过试验如果少写个h会提示。

 保存好文件后，切换到我们添加的用户myroot/mypasswd。uid=0，具有root权限。

 flag.txt在/root目录下。

7.结语

渗透测试要求攻击面广，攻击面广要求知识面比较广，也就是平时见得多，多刷题是不错的方法，比如定个小目标，每日一渗。最后希望各位师傅多多指点！！！