Vulnhub百个项目渗透
Vulnhub百个项目渗透——项目五十:Os-hackNos-3IMF-1(gila—cmsfakespreadsheet解密)
🔥系列专栏:Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年10月24日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
前言
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。
信息收集
22/tcp open ssh OpenSSH 8.0p1 Ubuntu 6build1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 ce16a0183f74e9adcba9399011b88a2e (RSA)
| 256 9d0ea1a31e2c4d00e887d2768cbe719a (ECDSA)
|_ 256 63b37598dec189d9924e4931294bc0ad (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: WebSec
是一个静态页面,接下来进行后缀名,子目录爆破
wfuzz -c -z file,/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt --hc 404 http://192.168.3.146/FUZZ.php,txt
最终在websec的子目录爆破出了结果
发现这是已知cms,whatweb搞一下
爆破
再主页面发现了邮箱
登陆页面还缺少一个密码本
利用cewl跑出来一个
然后再去bp抓包看一下post语句
这里有waf,我被封了好多次,分开来慢慢爆吧
也可以用九头蛇爆
hydra -L 1.txt -P 2.txt 192.168.3.146 http-post-form "/websec/admin:username=^USER^&password=^PASS^:Wrong email or password"
进去以后根据积累的经验
登录后台选择:Content -> File Manager -> index.php
修改成php-reverse即可,点击保存即可反弹
提权
发现这个无法爆破出来的东西,有啥用也不知道
bae11ce4f67af91fa58576c1da2aad4b
这就能直接提权了?难以置信
发现另一个用户可能可以提权,可以上去他那里直接提权
看来尝试一下本地的sudo -l
结果说没这个文件
我自己看了一遍
tmd.戏弄我
cpulimit提权
我们发现了cpulimit具有sudo权限
所以准备根据二进制提权利用
但是实际过程中应该是.so库有问题,有可能是靶场的.so太老了
所以我准备换个旧版本的kali实验
这个先放下
fake spreadsheet 解密
看了一位师傅的文章,发现了这个方法,第一次见
在图示目录中,有这样一个文件,打开如图所示
这是一种加密编码
https://www.spammimic.com/decode.shtml
选择:Decode fake spreadsheet
解码获得:Security@x@
然后登陆提权即可