Vulnhub-election靶机

总结：本靶机给了很多目录，对于信息收集考察的比较严格，给了一个数据库，很多时候容易陷进去，拿到用户权限登录后，也需要大量的信息收集，虽然可以在数据库里找到root和密码，但是不是靶机本身的，最终利用suid发现可疑目录，查找日志后利用脚本提权

一、靶机搭建

选择扫描虚拟机

选择路径即可

二、信息收集

官方信息

名字： eLection: 1
日期: 2 Jul 2020
难度：中等，类似于OSCP

扫ip

靶机ip：192.168.108.153

扫开放端口和服务

开放了22和80端口

指纹探测

nmap 192.168.108.153 -p 22,80 -sV -sC -O --version-all 

有些奇怪的信息，之前没有见过，先留下来

OpenWrt 21.02 (Linux 5.4), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)

目录扫描

dirb扫描，这里扫描出来的目录太多了，就不放图片了，语法如下

dirb http://192.168.108.153

dirsearch扫描

信息如下：

http://192.168.108.153/phpinfo.php
http://192.168.108.153/phpmyadmin
http://192.168.108.153/phpmyadmin/index.php       /doc/html/index.php
http://192.168.108.153/robots.txt

三、Web渗透

信息收集

查找历史漏洞，发现一个，先下载下来

查看一下，发现一个网站，访问一下

https://cfreal.github.io/carpe-diem-cve-2019-0211-apache-local-root.html

是一个本地权限提示，展示用不到

看看robots.txt，发现几个目录文件

看看sql页面，需要账户密码

访问上面几个目录

在findsmothing插件下发现几个路径

访问**/admin**，也是需要密码

还是重新扫描一下路径把，发现一个/logs文件，日志文件

访问看看

账户：love 密码：P@$$w0rd@123

ssh登录

尝试了之前的登录框发现都登录不上，进行ssh连接

四、提取

信息收集

找找可用信息

有了密码，看看可用的命令

进入家目录查看，没有什么信息

进入 /var/www/html目录下，发现之前的admin目录，进去看看

由于一开始的页面提到了include ，看看inc文件，访问下面三个文件

在conn.php文件下发现数据库账户密码

用户名：newuser  密码：password

mysql登录，找不到什么有用信息

登录数据库页面，在users表下找到了root的秘密

解密一下，得到密码：toor

suid提权

重新登录也没有什么可以的信息，利用以下命令找找suid

find / -perm -u=s -type f 2>/dev/null

发现一个可疑文件

进去看看，找到一个日志文件，访问

只有版本号一个信息

看看历史漏洞吧

下载第一个并开启本机web服务，上传文件

这里在home 目录下下载不成功，起初以为是下载命令不能用，切换之后发现还是一样，最终在**/tmp** 目录下成功下载，所以说在提取的时候，要多利用/home和/tmp两个目录以及一些不常见的文件

成功下载后，执行以下命令

gcc 47009.c -o 47009
chmod 777 47009
.*47009

提取成功

在/root目录下发现flag

解密看看