0x00 前言
这个是vulnhub的第十二个机子,根据朋友提供的一张表上面找的。希望一切顺利。
为了方便后来者学习,我将在以后的记录中尽可能的详细,但是之前写过的文章不在重写补充,有疑问可直接问我。
最后,%E7%8E%8B%E5%98%9F%E5%98%9F%E8%80%81%E5%A9%86%E6%88%91%E7%88%B1%E4%BD%A0%E5%93%9F
链接
https://www.vulnhub.com/entry/nineveh-v03,222/
PS
- 这个机子要用VirtualBox打开
- 默认ip为192.168.0.150
0x01 信息收集
1.ip
2.端口
0x02 攻击
1.web攻击
这里开启了80,和443,那么就意味着有http和https。
http:
https:
看到这种,肯定是要爆破目录的
http:
https:
先来分别看看
然后就是https的
这里可以看到是一个phpLiteAdmin v1.9的版本
查一下相关的漏洞,可以看到有一个1.93的RCI
下载查看一下,发现需要登录权限才可以,这里必然选择爆破
爆破成功
这个时候登录一下,然后创建一个新的数据库
这里的名称随便起
在这里写一个一句话
但是在创建了之后有一个问题,就是他这个的存储路劲不对,这里看到的是存储在/var/tmp下的,是么有办法访问的。
这里先放着,还有一个http的没搞
还是继续爆破, 这里一般爆破用户名都会选择admin
拿到账号密码之后,看到这个,这里最可以的就是最上面的那个url,很明显的一个文件读取,本来以为事情就在这里结束了。
这里发现无法读取
经过测试发现只要包含ninevehNotes,就不会出现No Note,那么这里可以理解为是存在文件读取的,但是只能读取包含ninevehNotes的文件。结合数据库,创建一个包含ninevehNotes的php文件,然后反弹shell。
这里写入成功
然后进行测试,但是发现有问题,更换一下payload,将’换成"
再次进行测试
然后反弹下shell,注意,这里的shell弹回是有时延的,别着急。
好了,按照我现阶段的思路以及方法,到这里之后就为止了。
在观摩了大佬的wp之后。按照正常思路写。
我这里LinEnum扫过的,但是很遗憾没有直接扫出来我想要的东西。唯一有价值的就是知道了本地开启了22
然后这里一定要养成一个思路就是,看根目录是否有可疑目录。
可以看到有一些日志文件
根据大佬们的经验这个东西就是一个Chkrootkit的检查日志
这里可以尝一下Chkrootkit的提权
将此文件gcc a.c -o update编译一下,然后放在目标机上/tmp/update
#include <unistd.h>
void main(void)
{
system("chown root:root /tmp/update");
system("chmod 4755 /tmp/update");
setuid(0);
setgid(0);
execl("/bin/sh","sh",NULL);
}
然后等着就行,过一段时间大约1min,update就成为了root权限
首先拿到第一个flag,然后继续,还有一个flag
然后看到etc下还有一个/etc/knockd.conf文件,查看一下
之前做过这个东西,敲门机制,nmap敲一下
for x in 571 290 911 ; do nmap -Pn --max-retries 0 -p $x 192.168.0.150; done
然后在/var/www/ssl/secure_notes下看到
用私钥进行连接,获取到flag
0x03 总结
难度的话,其实从拿到webshell这里其实自己可以搞定,但是之后的提权,这里可能就不行了,第一个是思路不够,第二个就是对该检查的文件没有进行检测。