Vulnhub—靶机—FristiLeaks 1.3
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
地址:https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
一、信息收集
【步骤一】使用nmap确定目标靶机地址,对目标靶机进行全端口扫描:
【命令】nmap -n -p- 192.168.1.193/24
【步骤二】发现只开放了80端口,查看网站源码:
【步骤三】对80端口进行目录枚举
【步骤四】发现有robots目录
【分析】发现robots内容是三个路径目录,查看发现都是相同的图片
【步骤五】访问扫出来的第二个目录,发现内容是网站主目录的图,我们利用该页面的词汇去作为目录去访问,发现当访问fristi的时候发现一个登陆页面
【步骤六】查看页面源码发现有页面创始人eezeepz和base64加密的内容,将其复制放在一个文件里,并使用base解码
【步骤七】将页面创始人名字做为用户名,解密出的内容做为密码进行尝试登陆访问
二、漏洞利用
【步骤八】登陆成功发现文件上传处
【步骤九】将shell脚本上传
【步骤十】发现php文件不允许上传,在文件后加jpg上传
【步骤十一】在kali使用nc监听本地8888端口,并访问上传的shell文件,成功反弹shell
【命令】nc -nlvp 8888
【步骤十二】去目标的home目录查看,发现有三个子目录,只有名为eezeepz的可以访问,在其中发现一个txt文档并查看
【步骤十三】根据提示我们去创建一个runthis文件,并赋予admin文件权限
【步骤十四】访问admin目录并查看其中文件内容,发现内容都是python加密,使用python脚本解密
1.mVGZ3O3omkJLmy2pcuTq :thisisalsopw123
2.=RFn0AKnlMHMPIzpyuTI0ITG :LetThereBeFristi!
【步骤十五】切换用户去尝试解密出的内容是否是fristigod的密码
【步骤十六】发现su命令不可使用,根据网上资料需要修改下su实现的标准
【命令】python -c ‘import pty;pty.spawn("/bin/sh")’
【步骤十七】登陆成功
【步骤十八】使用ls -la查看所有目录及内容
【分析】发现这个子目录属于root,没权限查看
【步骤十九】使用sudo命令查看doCom文件的用户ID及组ID是否查看
【命令】sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom id
【步骤二十】使用sudo创建一个shell
【命令】sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
三、Flag
【步骤二十一】查看root下内容,在最后一个文件中找到flag