EvilBox---One-vulnhub靶场
作者:互联网
环境信息
靶机:192.168.124.138
攻击机:192.168.124.129
打靶过程
1.nmap扫描端口及服务
发现开放 22,80 端口
访问 80 端口,是 apache 的欢迎页面
2.目录扫描
访问 /robots.txt,发现疑似用户名“H4x0r”
访问 /secret/,是一个空白页面
那么就再扫描一下 /secret/ 目录,最终通过 dirb 扫描出 evil.php
访问 evil.php,也是一个空白页,这里猜测可以在后面加参数,就有可能涉及文件包含
3.wfuzz 爆破参数名
使用命令 wfuzz 爆破参数名,成功爆出参数名为“command”
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 0 http://192.168.124.138/secret/evil.php?FUZZ=/etc/passwd
4.文件包含
使用该参数名进行文件包含,发现一个用户“mowree”,但是不知道密码
该靶机开放了22端口,查看该用户下是否存在 ssh 私钥,发现确实存在私钥
5.私钥登录 ssh
下载私钥 id_rsa
使用ssh2john id_rsa > pass.txt
命令编译私钥保存,
利用john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt
破解出密码 unicorn
赋予 id_rsa 私钥 600 权限,指定 id_rsa 登录 ssh,输入密码 unicorn 成功登录
获得第一个 flag
6.提权
查看系统版本、可使用 sudo 执行权限的命令以及 suid,未发现可利用点
写入 root 权限用户
后发现 /etc/passwd 文件可写入,那就写入一个 root 权限的用户吧
先使用命令perl -le 'print crypt("pass","pass")'
生成加盐密码
使用命令echo toor:pauONM/HSu9pM:0:0:root:/root:/bin/bash >>/etc/passwd
写入带 root 权限的用户 toor,切换至 toor 用户,成功提权至 root 权限
成功获取 flag
标签:权限,私钥,rsa,EvilBox,---,vulnhub,txt,root,wfuzz 来源: https://www.cnblogs.com/r0ure/p/16546666.html