靶机下载地址:靶机下载地址
主机发现
信息搜集
通过nmap扫描,得知开放22,80端口,版本信息以及相关的服务信息
浏览器访问该地址,发现只是一个Apache2默认的页面,然后利用gobuster进行目录和文件扫描,通过-x指定文件类型,得到一个secret的目录和index.html以及robots.txt
访问index.html是刚刚那个Apache2的默认页面,然后访问robots.txt,是一个像似用户名,用hydra爆破ssh并未成功;最后访问secret目录,发现是一个空白页,通过源码也没有内容,然后再将这个目录再进行扫描,发现index.html和evil.php
漏洞发现
访问evil.php发现还是没有什么内容,这里是一个PHP文件,应该会进行数据交互等,于是这里需要进行参数爆破,看看是否有参数可以进行提交数据,用fuff工具,利用burp上的字典发现没有成功
-fs的意思就是过滤掉不想看到的,指定0,因为当我在URL无效的参数,结果返回空白页,像这样的结果我是需要过滤掉的。
于是尝试利用文件包含,利用本地的页面来爆破参数,发现了果然有个参数command
漏洞利用
尝试访问根目录下的一些文件,发现可以访问,所以这里有本地文件包含漏洞,然后尝试一下远程文件包含,在本地写一个php的shell,然后利用远程包含不能成功,然后利用PHP封装器来进行文件的写入,发现还是不行
在etc/passwd下发现了一个用户mowree,尝试ssh爆破,用ssh mowree@10.0.2.7 -v
-v 参数,来显示在登录过程中目标靶机支持哪些SSH身份认证
发现ssh登录可以密码验证或者公钥,既然目标靶机存在公私钥,那么目标靶机的主目录或者其他目录中一定存在的公钥文件。通常Linux系统中公钥位置在该用户下的.ssh/authorized_keys中
可以得到是rsa加密的,用户为mowree,rsa加密的私钥文件名为id_rsa,尝试访问,可以得到私钥文件
接着可以用私钥尝试登录,私钥的格式一定要正确
然后将权限改为600,尝试登录,发现还要密码
用john爆破,需要将id_rsa文件格式转换john可认的格式
然后利用rockyou.txt字典进行爆破,得到密码unicorn
然后进行ssh登录
权限提升
通过sudo -l和查看计划任务表都没有信息,查看版本,搜索漏洞库也没有可以利用得漏洞
接下来就需要find寻找权限,利用suid权限(4000代表suid权限),发现无法利用
然后寻找sgid(2000就代表了sgid),还是无法利用
接下来只有寻找可以写入的文件find / writable 2>/dev/null ,过滤一些系统文件
发现这个用户可以对/etc/passwd进行写操作,所以可以将root的密码进行更换,我们用OpenSSL进行加密123456
然后再编辑/etc/passwd,将其root的密码替换
然后切换root输入密码123456就提权成功。
靶机涉及知识点:
- 目录扫描
- 参数爆破
- 文件包含
- PHP封装器
- ssh公钥登录
- 离线密码破解
2985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
