1、先找下ip,再掃描下端口
2、瀏覽器訪問80端口
3、修改hosts文件(windows路徑C:\Windows\System32\drivers\etc,linux路徑/etc)
添加一行gitroot.vuln 192.168.0.106
4、使用gobuster掃描一下子域名
gobuster vhost -u gitroot.vuln -w domain.txt
5、wp是個WordPress站點,repo存在git源碼泄露
6、直接找到工具把源碼全部下載下來,發現一個文件
7、使用hydra爆破pablo用戶的密碼,這個其實靶機描述也有提示
爆破字典可以使用kali自帶的rockyou,路徑是/usr/share/wordlists/
但是字典比較大,這裏做個樣例就提前準備個小字典
pablo/mastergitar
8、ssh登錄上去,查看家目錄下的user.txt文件,完成第一個goal
9、進入到public查看,發現一個message文件,查看之後得到提示,找到一個新的git repo
10、使用find命令查找.git文件夾,/opt/auth/.git就是那個新的
11、進入到/opt/auth/.git/logs/refs/heads,ls查看一下文件
直接cat `ls`查看文件夾下所有的文件內容,發現有個添加數據的操作
將高亮的那串複製下來,然後使用git show命令查看commit提交記錄詳情
git show 06fbefc1da56b8d552cfa299924097ba1213dd93
這裏得到一個密碼,雖然不知道用戶名,但可以猜得到,因爲用戶名只有三個,可以通過查看/home目錄下的目錄得知,也可以通過之前git源碼泄露得到的文件內容得知,還可以從靶機描述得知,然後再結合wp這個站點的管理員是beth,嘗試一下ssh登錄,發現登錄成功
beth/r3vpdmspqdb
12、接着查看家目錄下的東西,提示我們可以添加一個zip文件到/home/jen/public/repos目錄下,然後它會自動解壓添加到倉庫中
13、進入到tmp目錄下,新建.git/hooks文件夾,建一個post-commit文件,裏面寫入使用nc反彈shell的一句話,文件給777權限,再將.git文件夾壓縮成zip格式,再給777權限
14、在本地監聽55555端口
15、複製壓縮包到到/home/jen/public/repos目錄下
cp shell.zip /home/jen/public/repos
成功接收到反彈的shell
通過python提權到tty
python -c "import pty;pty.spawn('/bin/bash')"
16、在家目錄下查看有沒有可疑文件,查看.viminfo文件的時候發現可疑內容
17、經過嘗試之後這個就是jen的密碼
jen/binzpbeocnexoe
於是使用git方式提權
sudo git -p help
然後輸入剛剛得到的密碼
接着在冒號後面輸入
!/bin/sh
(輸入這個命令前是#號)
或者
!/bin/bash
(輸入這個命令前面是我們熟悉的用戶名@主機名加目錄)
18、查看/root/root.txt文件,目標全部完成
19、總結
root的家目錄下放着三個用戶的密碼和要上傳的壓縮包,最後放一張前面說的使用!/bin/bash的圖
參考鏈接:
https://www.youtube.com/watch?v=JfRrV15wYx0