# 前言
这个靶机总体上不是很难,主要考察一个信息收集的能力,和经验之谈,最后面的提权也比较简单,所以整体下来大概用了一个半小时的时间,总的来说还是比较有意思的,虽然我到最后也没能利用上哪两个 md5 值来利用一些什么,但是这些信息还是很有必要收集到的
# 搭建过程
这里选着使用 VMware 打开
这里会弹出一个窗口,填写虚拟机名称和虚拟机要存放的路径即可
这里可能会出现硬件检查的警告,这里不用管,直接重试即可
这里就搭建成功了
# 实验过程描述
# 主机存活探测
首先需要我们进行简单的信息收集,这里我选用的是 arp-scan 这个工具来进行主机发现
很显然这里是 148 这个 ip(其他的 ip 是我 Kali 的一些服务所需要的 IP,这里不用管)接着我们对这个 ip 进行一个端口的探测
可以看到这里是开放了上面这些端口,接下来进行进一步的服务探测
这里可以看到,22 端口是一个 Openssl 服务,版本是 5.9,80 是一个 Apache 的 http 服务,111 端口开放的是一个 rpcbind 服务,38938 开放的是一个 status 服务
这里先去看一下 80 端口上的服务
# 目录发现
这是一个商店服务,这里对 80 端口进行一个目录的发现
这里看到有一个 readme 的 markdown 文件,这里先去看一下这个文件中有什么内容
很有趣的是,我发现了一个这样的链接 StartBootstrap/startbootstrap-creative: A one page HTML theme for creatives by Start Bootstrap (github.com)
很显然这个目标靶机是基于这个项目来更改的,这里在项目中可能发现的一些测试账号等信息,但是遗憾的是这个项目实际上是一个 JS 的项目,所以也就先到这里,接下来看扫描得到的别的目录 /dbadmin/
# 漏洞利用
这个下面有一个文件
这里似乎是一个数据库管理的路由,简单爆破一下,很幸运的是他是一个弱口令,密码是 admin,可惜的是扫描得到的目录并不能给我很大的帮助,但是有幸的是我发现了这样一个东西
这里很显然似乎是作者给与我们的提示,这里点击进入后,我也是发现这个路由有问题
所以我猜测这里可能存在任意文件读取
幸运的是,我也成功了,这里纯在任意文件读取,于是我去读刚刚发现的管理平台的那个文件,那么很显然这里就存在着文件包含,这里我们将目光再次放回到上面的数据库管理工具中
拿到了两组数据,很显然是 md5 加密,这里找一个在线网站去破解一下
但是这两个密码都不能让我直接用 ssh 连接上目标主机,然后我发现这里可以创建新的数据库,所以我联想到前面的文件包含漏洞,这里创建新的文件 test.php
所以这里就可以向文件中写一个木马,然后连接
这里新建一个表 test,然后填入木马
然后连接这个木马文件
这样就拿到了一个简单的 shell,
根据经验这里我直接去翻了一下 home 目录
在这里发现了一组用户名和密码,这里再用这个密码尝试登录
很显然这里是一个普通用户的权限,这里在想办法进一步提权
# 提权
这里直接查看 sudo 配置有无缺陷,很显然这里 tar 和 zip 不需要使用密码可以 sudo
touch 1.txt | |
sudo zip 1.zip 1.txt -T --unzip-command="sh -c /bin/bash" |
