下載地址:https://www.vulnhub.com/entry/five86-1,417/
前言:
作爲小白(參考我寫過的其他文章前言,懶得再來一遍了)
Kali:192.168.1.4
目標機:192.168.1.27
信息收集:
漏洞挖掘:
分別訪問80和10000端口。80端口訪問後,頁面源碼如下:
訪問10000端口發現登錄頁面,確認該端口是一個cms網頁,但是是https的網頁。
現想想如何登錄,如何獲取用戶名和密碼。先從80端口爆破文件開始。但是80端口文件爆破失敗,只能從10000端口下手。爆破txt和php文件。文件目錄好像爆破不了。查看一下有沒有已知的漏洞。但是漏洞不存在。發現一個遠程命令執行漏洞:
真讓人頭大。回到原點,對於80端口沒法爆破目錄,盲猜robots.txt也沒有用,爆出連接錯誤。至此,發現問題,要用VMware,我之前用的是VirtualBox。
此處IP更改:
Kali:192.168.109.129
目標機:192.168.109.139
接下來繼續,使用VMware後,莫名奇妙的問題也就解決了。80端口和10000端口都可以爆破目錄了。先從80端口下手,簡單爆破:
訪問robots.txt文件,發現ona文件。
訪問後,發現了這個東西,權限是guest權限。此時我的腦袋上就飄過3個問號,這是啥。好像是個連數據庫的東西。
看看是否可以切換到admin權限,盲猜用戶名和密碼都是admin,果然成功。仔細觀察後發現是opennetadmin。原來是IP地址和主機管理系統。對於此,不知道怎麼用,先看看有沒有什麼已知漏洞。存在命令注入漏洞。直接用msf利用一下,也可以自行手動利用。方便起見,就用msf了。
直接啓動一個shell。
提權:
權限過低,進行提權。Python美化一下。
因爲不知道密碼,home文件下的所有文件夾都沒有辦法訪問,只能從suid和sgid下手或者找找可讀文件,當然也可以看看passwd文件,或許可以找到密碼。先找一找suid。一頓尋找後啥也沒有。找找可讀文件。可讀文件太多了,成功卡死了我的電腦。突然想起還有個webmin網站。可以去看看有啥,然而沒有權限。但是明明可讀文件搜索時是可以看的,後來發現實在/share下面。
但是找來找去,想起了系統漏洞提權問題。但是也沒有系統漏洞。在幾近周折之後,終於找到了有用信息,太狠了,尋找可讀文件實在是太多了,蓋過去了,終於現在/var/www/html/reports文件夾下找到了。Htaccess文件,查看後,提示/var/www/.htpasswd文件,我了個去。
發現一個用戶名和一串加密的密碼,並且提示使用“aefhrt ”(有空格)來組成10個字符的密碼。這是Linux的用戶密碼,所以使用的是sha512加密方式,先生成密碼字典,然後使用john爆破一下。使用crunch生成字典(crunch 3 4 1234,最小3位,最大4位,有1234四個數組成,需要加入空格就輸入空格)。
然而並不是sha512,那就默認爆破,john --wordlist=password.txt。接下來靜候佳音。最後發現密碼fatherrrrrr。切換到該用戶。
接下來知道了密碼,使用sudo -l提權。
發現cp命令可以免密使用jen身份執行。查看passwd文件,查看jen的權限。
可以進入home目錄,把jen的文件複製出來到douglas目錄下。然而拷貝失敗,查看後發現jen文件夾屬於root用戶和root組。拷貝出來不行,能不能拷貝進去呢?嘗試一下。
確實可以複製進去。嘗試複製一個ssh的連接密鑰進去。先看看存不存在.ssh這個文件夾。
確實存在.ssh這個文件夾。複製一個authorized_keys進去,之前生成的,密碼是123456。從本機下載過去。
之後用ssh連接一下jen。
一番文件尋找後,發現兩個txt文件。
因爲不知道密碼,所以也無法使用sudo -l。查看這兩個txt,沒啥用,看不懂。主要提示點如下,剛連接ssh時提示。
使用mail命令看一下。
一個提示可以切換到moss,moss的密碼。直接使用郵件中的明文切換一下。
在game文件夾下發現了一個文件:
其他人只能執行。使用strings查看一下。然而還是直接執行好了,在一連串問題後,就進入了root用戶。
獲取flag。
最後:
對於提權到root那個可執行文件,我可能是運氣好,直接就撞上觸發條件了,後來想了想會不會需要下載到本機進行逆向,就像之前我做的一個靶機需要逆向分析,對於這個靶機我也沒有直接驗證過,加上逆向確實不會,所以最後提權到最好還是逆向看一看。