靶机信息
下载地址:https://www.five86.com/five86-1.html
下载完成后,运行文件夹中的.ova文件即可安装靶机(vmware)
网络连接方式为NAT,kali与靶机为同一网段
信息搜集
使用nmap扫描本网段的ip信息,稍微筛选下找到目标地址
nmap -sn 192.168.74.0/24
对此ip做进一步的扫描
nmap -A 192.168.74.136
浏览器访问该ip发现网页为空白界面
从扫描信息中的可以获得两个路径/robots.txt /ona
漏洞利用
OpenNetAdmin简称ona,是一款网络管理工具
页面上显示的版本为v18.1.1,在kali上搜索到两个该版本的漏洞
这里使用的是RCE的漏洞
脚本文件路径:./usr/share/exploitdb/exploits/php/webapps/47691.sh
发现没法cd切换路径,查找当前用户有访问权限的文件
看到有个/var/www/html路径的文件,虽然不能cd但是可以cat查看
find / -user www-data
查看.htaccess文件后提示另外一个路径
再查看.htpasswd文件发现了一段hash,douglas应该为用户名
最后一行提示密码是由aefhrt组成长度为10的密码
使用crunch生成最小10位,最大10位的密码组合到该txt文本
crunch 10 10 aefhrt -o /five86pass.txt
将之前的hash写入到文档中,然后使用john进行暴破
five86pass.txt为生成的字典,hash.txt为获取到的密码hash
等个两三分钟破解成功,得到密码fatherrrrr,douglas/fatherrrrr
john --wordlist=/five86pass.txt /hash.txt
权限提升
试了下是ssh的账号密码,登录到ssh
发现cp命令可以用jen的身份免密执行
ssh -l douglas 192.168.74.136
sudo -l
将ssh公钥复制到jen目录下,即可免密登录
ssh免密登录需要创建/authorized_keys目录,且最低需要600权限
cd ~
cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
ssh -i id_rsa jen@192.168.74.136
登录到jen账户后发现有邮件
查看邮件发现moss账户的密码,登录到moss账户
在moss的home目录中发现了一个隐藏文件夹.games
在.games文件夹里找到了一个可执行程序upyourgame
获取到root权限后在root目录下找到flag
cd /home/moss
ls -a
cd .games/
./upyourgame
# 全输yes即可