Moonraker: 1靶机练习实践报告
一、安装靶机
靶机是.ova文件,需要用VirtualBox打开,但我习惯于使用VMWare,因此修改靶机文件,使其适用于VMWare打开。
解压ova文件,得到.ovf文件和.vmdk文件。
直接用VMWare打开.ovf文件即可。
二、夺旗步骤
第一步:IP扫描,端口扫描
![](https://file.jishuzhan.net/article/1795694611885199362/871d3faf6bc6a1863471faec4053c288.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/c89d1a35a706d7fbd5e948444d86cba4.webp)
靶机IP为192.168.25.132,开放端口22(ssh),80(apache),3000(nodejs),5984(couchdb)和39847。首先爆破ssh,失败。
第二步:访问80端口、目录扫描和网站渗透测试
![](https://file.jishuzhan.net/article/1795694611885199362/a33001b047e17816698e889fbb99f50e.webp)
逐个访问上述的地址,http://192.168.25.132:80/services发现一个提示。
![](https://file.jishuzhan.net/article/1795694611885199362/0986e788b5192bcaaf80bfd47bca8b88.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/ca8c1b64cfb098448a3e97e7edaf5d3a.webp)
提示销售代表会查看输入的信息,可以伪造网站地址,欺骗用户点击,稍后分析。
![](https://file.jishuzhan.net/article/1795694611885199362/4ec8676fbc5d792f3f2f61b97a3a0535.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/d1f22eb40829152c0288befae0a36c4a.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/713f999e015db131e5cc6df0b9421f49.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/3e37ecfa344e6fce0e08857d44464cb3.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/d3f8f0d115489005f17eab09c18aefd3.webp)
有一个提示:某个地方有cookie和序列化。
然后,nikto扫描没有发现有价值信息。
第三步:整理收集到的结果,进一步分析。
启动服务器,在之前找到的http://192.168.25.132/svc-inq/sales.html地址处输入伪造的\<img src=https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=”http%3A%2F%2F192.168.25.128%3A80%2Findex.html”%2F\&pos_id=img-lAQAYyo1-1716867485754)>,查看访问记录。
![](https://file.jishuzhan.net/article/1795694611885199362/909a7e2599e9e399cc75cb028f6843d4.webp)
意外发现一个新的地址,打开地址,全站查找信息。发现一个提示用户口令的文件,在ssh和couchdb中尝试该口令,将全站出现的女性名字全部试了一遍,都不是,考点有一个提示"Google-fu.",难道是google搜索?
![](https://file.jishuzhan.net/article/1795694611885199362/bafd7e185a1d8e8eb0b78f9ec5cc84cf.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/cf500c73b8a2a7925533660f17f59def.webp)
获得用户口令"jaws:dollyx99",在couchdb中成功登陆。进一步分析couchdb中的数据,发现4个新的地址,逐个访问。
![](https://file.jishuzhan.net/article/1795694611885199362/e5bc28f1f3a8994a206488b5ce82ebd4.webp)
发现一个/HR-Confidential/offer-letters.html页面中有四个用户口令,"hugo:TempleLasersL2K ","jaws:dollyx99","holly:ArchivesPistolsL2K ","guard:FacProxsL2K"。
![](https://file.jishuzhan.net/article/1795694611885199362/4b58b654c5060a4641742212639d89b7.webp)
用这四个口令分别登陆ssh,失败,登陆couchdb,没有权限访问的两个数据库还是无法访问。继续分析/svc-inq/salesmoon-gui.php,找到另一个提示文件,提到了端口3000,提到了cookie,我们找到过一个cookie和序列化的提示,难道存在序列化漏洞?分析代码,obj.username可能存在序列化漏洞。
![](https://file.jishuzhan.net/article/1795694611885199362/0daf4d55d2be8c10b3f79b88ad080d88.webp)
访问3000端口,需要用户口令,用之前获得的4个口令逐个尝试,"hugo:TempleLasersL2K "成功登陆。根据提示访问/accounting/hugo-manif.mp3,什么也没发现。
![](https://file.jishuzhan.net/article/1795694611885199362/9f2d98257fd70b12945d7af381a62e11.webp)
上网搜索nodejs序列化漏洞相关信息,找到一个利用脚本,直接拿来主义。
![](https://file.jishuzhan.net/article/1795694611885199362/25177e6c22236a85cce81c31dc554221.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/5da5e4420ab5059acf776ceeeaa58c99.webp)
将脚本进行base64是因为nodejs后台代码会对cookie进行base64解码,将cookie替换成shellcode,本地监听设置的端口1234.
![](https://file.jishuzhan.net/article/1795694611885199362/97419483661c55b55b10bd7919fd416f.webp)
获得一个shell。全目录遍历查看,发现/opt/couchdb/etc/local.ini文件中又发现两个口令。同样在ssh和couchdb中尝试,还在http://102.168.25.132:3000/尝试,发现"hugo:321Blastff!"可以通过ssh登陆,获取hugo权限的shell。
![](https://file.jishuzhan.net/article/1795694611885199362/4e6e0b90e7580a6230636519a43435db.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/2cb26b36139b596c610ad0a030714569.webp)
还是无法查看/root目录下的文件,继续搜索,在/var/mail/hugo下查看到一个信息。root用户的密码,条件反射的爆破。
![](https://file.jishuzhan.net/article/1795694611885199362/30b17675d8b087d3b835cf442150934d.webp)
![](https://file.jishuzhan.net/article/1795694611885199362/f9599d084cf73c812167206c1ac9ef7f.webp)
得到root用户新口令"root:cyberVR00M",登陆root用户,读取flag。
![](https://file.jishuzhan.net/article/1795694611885199362/1096361d2b8f0b960d76c6150dbbe75c.webp)
三、总结
\1. 灵活运用之前靶机练习中学到的搭建攻击者服务器的办法
\2. 常见漏洞的脚本要备齐,此处新收集nodejs序列化漏洞利用脚本