前言:
靶機難度是簡單到中等。做靶機的心情就是大起大落。因爲畢設的原因,卡了很久沒有做過靶機了,有些東西都忘了,又要潛心複習一下了(我覺得沒有人會像我這樣吧)。聽着蟬鳴做靶機竟然莫名感覺到一絲悠閒,在這夏天裏,叫走了幾絲悶熱。
下載地址:https://www.vulnhub.com/entry/geisha-1,481/
Kali:10.1.1.129
目標機:10.1.1.128
信息收集:
漏洞挖掘:
端口有點多,每個端口都訪問看看。訪問後每個界面都是一樣的。
難道要爆破那麼多端口?從這個端口看,可以先爆破一下那個Python端口(9198端口)。
訪問info.php,下載它。
然而啥也沒有。接下來看看8088端口。
看到cgi,我突然想到了破殼漏洞,嘗試運行,看看能不能破殼。Docs文件夾訪問後,給出了openlitespeed版本,也可以看看它有沒有漏洞。
漏洞不存在。服務器也不存在遠程代碼執行之類的漏洞。接下來是7125端口。
看着這個passwd,心中一陣狂喜,這是給我爆破的機會呀。下載它,查看。
從信息來看,就root和geisha允許登錄。好像沒有其他信息了,看樣子怕是要爆破ssh和ftp了。
獲取密碼,登錄ssh。
提權:
該用戶沒有sudo權限,所以接下來看看特殊標誌位文件。
發現兩個文件,dbus沒有發現可用的exp,而dmcrypt到時可能存在CVE-2017-6964,但是沒找到exp。就在我以爲要歇的時候,發現一個從來沒見過的東西,base32,感覺和base64一個東西啊,看樣子上圖兩個文件只是虛晃一槍。可有什麼用呢?難道要僞造腳本?可也沒法僞造啊(主要是不熟)。使用base32 --help命令,突然發現,base32可以加密文件啊,命令方式爲base32 /etc/passwd。
那麼帶有s的話,運行起來直接以root權限進行,那豈不是可以隨便讀取文件了。讀取shadow文件,獲取hash值。
使用john對hash進行爆破。Base32可以直接讀/root裏的文件,主要也不知道root裏有啥文件。差不多倆小時了,突然想起,要是可以爆破,之前不就成功ssh連接root嗎,所以這裏不能爆破。想想,拿到passwd文件得知geisha和root可以ssh登錄,那麼也就是說root文件夾下.ssh中存在ssh連接的私鑰,私鑰名稱爲id_rsa,嘗試讀取一下。
成功。複製下來,使用私鑰登錄ssh。記得給其賦權爲600,我在這卡了很久,連接不上,覺得簡直不可思議,後來發現是權限錯了。
