难度
低->中
目标 一个root 两个flag
kali 192.168.135.58 靶机 192.168.135.104
netdiscover -i eth0 -r 192.168.135.0/24
端口扫描
先访问一下80端口和10000端口,这两个都是web服务的样子
80端口是初始化界面,可以尝试扫扫目录
访问10000端口
提示需要https才可以访问,那么换成https协议去访问
发现是一个登录框,根据看这个网站是webmin,可以去网上寻找相关的历史漏洞进行利用。
使用dirsearch扫了半天终于扫描出了一个robots.txt 🤣
访问发现有一段base64编码的字段 d2Ugc2NhbiBwaHAgY29kZXMgd2l0aCByaXBzCg==
什么扫描php代码使用rips,然后去网上搜索了一下发现rips是一个php代码审计的工具
感觉是挺老的一个项目了
GitHub - ripsscanner/rips: RIPS - A static source code analyser for vulnerabilities in PHP scripts
根据提示很可能存在这个启动的网站
于是尝试了一下/rips /rips-Webmin 发现都没有,后面又想到还有一个80端口没用的,尝试在80端口上面访问果然有一个这个东西
这个rips我也是第一次遇见,去网上搜索了一下相关的使用资料
首先尝试搜索了一下/var/www/html
可以确定rips的源码就是部署在这个下面的
那个Webmin的源码是部署在root/webmin-1.910/ 之前我尝试利用历史漏洞的时候将路径给爆了出来
我先尝试了这个文件读取,发现这个rips的文件读取还做了过滤。。。挺安全的。
然后又到处点在file的文件里面,这个里面应该是存放的所有扫描到的文件,发现第一个secret.php打开发现了账号密码
也是挺仓促的
ripper/Gamespeopleplay
我还以为是Webmin的账号密码没想到是ssh
找到第一个flag
首先是查看一下/etc/passwd查看一下有哪些用户发现确实还有一个用户 cubes 也就是说还有一个flag很有可能在这个用户的目录下
不过这个用户目录下的东西挺多的,都得看一看。
不管如何先拿到root权限再说,直接上线msf使用post提权模块一把梭
成功拿到root权限🤣
按照目标的要求两个flag和root权限全部拿到
但是还是得学习一下作者想要传递的知识点
按照正常的信息收集流程进行信息收集,我查看了ripper目录下的文件没有发现什么东西,然后就到cubes的目录下去翻了翻也没有查看到到什么东西
原来是查看所有所属用户是cubes的文件
find / -user cubes -type f 2>/dev/null
有一个密码
Il00tpeople
使用这个密码登录
然后我查看了一下.bash_history
发现他有修改/var/webmin的记录,到这一步,webmin的作用好像还只是提供了一个提示,或许提权的机会就在这里
在里面查看这个miniser.log的内容的时候发现了这账号密码
admin/tokiohotel
尝试去登录发现成功了
果不其然,显示在网上搜搜了一下相关的漏洞,因为这个程序webmin是一个网站管理平台需要root的权限所以能rce得到的也是root的权限
在网上寻找到了CVE-2022-36446 后台rce漏洞
就是回显有点慢。
后面看了一下wp发现原来网站里面直接有cmd可以执行命令😢
整体挺简单的,只有那个地方找密码没想到要那样找。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
