vulnhub-Gitroot

最新推荐文章于 2022-11-05 13:28:01 发布

等i在

最新推荐文章于 2022-11-05 13:28:01 发布

阅读量303

点赞数

分类专栏： vulnhub

本文链接：https://blog.csdn.net/qq_41810304/article/details/107183672

版权

vulnhub 专栏收录该内容

19 篇文章 1 订阅

订阅专栏

前言：

这靶机对于我来说真的难，磨了一周，终于给磨出来了，爆破的时候真的很怀疑人生，密码在第100多万行，看日志的时候使用more命令一点一点的看，眼睛都看瞎了都没找到提示，最后获取jen的shell还没python调用bash，各种踩坑，累的很。还是要感谢一下臭nana的博客（https://blog.csdn.net/weixin_43784056/article/details/106910224），他的博客告诉我思路一直是正确的，就是需要耐心。

kali：192.168.1.4

目标机：192.168.1.37

信息收集：

漏洞挖掘：

从端口信息来看，主要还是要从80端口下手，11211端口可以使用telnet连接，但是没有任何意义，22端口可以爆破，但是前提是要获取用户名，因此只能先从80端口下手。访问80端口，获得下图。

得知wp.gitroot.vuln有个WordPress网站，修改hosts文件。

使用wpscan扫描一下，主要获取两个东西，一个是漏洞插件，一个是后台登录用户名。

最终只有一个用户名，尝试后台爆破和ssh爆破，但是都没有成功（图略），对IP直接文件爆破也都是一些服务器的文件，也许平时有用，但现在没用，此时陷入僵局。突然想起之前的一个靶机爆破了子域名，这个是不是也可以进行子域名爆破，使用wfuzz工具，发现一个repo.gitroot.vuln域名。

修改hosts文件，访问一下看看。

从其提示来看，这里或许可以发现源代码。先看看get.php和set.php。

其实发现了./git文件夹，就可能存在源码泄露的情况，使用工具（GitHack）将源码下载到本地，得到以下几个文件，审查每个php都没有太大用处，此时最有用的就是help文件和hash文件名的文件。

从第一个红框文件中可以看到有三个用户，而help文件仅是一个提示。

获取三个用户名后，可以进行一次ssh爆破（hydra），在此之前，也去验证了一下WordPress是否存在这几个用户（除beth外），自然是不存在的。（爆破非常费时间，按照以往的靶机，爆破使用rockyou.txt的密码也是比较靠前的，所以这次我也很迷惑，不确定路是否走对了，看了一下其他人的教程，是爆破出来的，用户名为pablo，密码是mastergitar。因为也开了11211端口，而且可以随意连接，我以为可以读取敏感信息，但是发现所有命令都不回显）。先ssh登录pablo用户。获取第一个flag。

提权：

在pablo目录下，发现一个public文件夹，发现一个message.txt，内容如下：

从信息来看，还是要去看看那个repo域名下的文件夹，然而翻了个底朝天都没有任何有用的东西，拉出百度翻译后才发现，全新，也许这个不是全新，要找另一个，使用find的命令发现了另一个.git文件夹。

进入logs/refs/heads，然后查看所有文件内容（cat `ls` > dev.txt），在第414行发现一个添加用户的历史记录（我看了好久都没看到，这里去看的别人的博客）。

因为git可以查看历史，所以查看一下这条记录里面干了啥。

发现类似密码的东西。还有jen，beth和root用户，一个一个试试，我还想过去看看是不是WordPress的密码，后来一想，ssh不香吗。最后发现是beth用户的密码。

在beth用户的家目录下，有一个public文件夹，发现txt文件，内容如下：

提示中出现一个目录，大致意思是你可以把你要添加的东西压缩成zip压缩包添加到/home/jen/public/repos文件，然后他会给你解压，然后添加到自己的仓库中。我这么一看，利用点肯定是这啊，我刚开始天真的以为里面他写了个执行代码的程序（我也不知道当时为啥想的那么理想），然后我疯狂压缩文件，写入shell脚本，然而一点反应都没有。细想一下，添加文件的话使用的add命令，而.git文件夹下有个hooks文件夹，里面可以放上shell脚本执行（post-commit）。因此依据这个想法，创建一个.git文件夹，创建hooks文件夹，创建post-commit，写入反弹shell的脚本。记得赋权777。