2018-09-28-Vulnhub渗透测试实战writeup(4)

桥接到vmnet8网卡,网段是10.10.10.1/24.
先主机存活探测,nmap -sn 10.10.10.1/24


图一

可以看到靶机ip地址为10.10.10.143
然后老规矩nmap和dirbuster扫描一波,先nmap
sudo nmap -sV -A -p- -Pn 10.10.10.143
结果如下:

PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3)
| http-methods:
|_ Potentially risky methods: TRACE
| http-robots.txt: 3 disallowed entries
|_/cola /sisi /beer
|_http-server-header: Apache/2.2.15 (CentOS) DAV/2 PHP/5.3.3
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
MAC Address: 08:00:27:A5:A6:76 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10, Linux 2.6.32 - 3.13
Network Distance: 1 hop

可以看到只开放了80端口,apache版本2.2.15,php版本5.3.3,linux系统
接下来日常dirbuster扫描


图二

只能打开images以及icons目录,下面主要是一些图片文件,binwalk和gedit打开以后没发现有啥有价值的信息。
来到这一步就没辙了,只能看看有没有其他的入口点,仔细点看这幅图:


图三

他说:Keep caml and drink fristi......
所以根据后面的提示,这个fristi可能是一个目录来着。。。好吧,ctf套路我也没啥办法。。
直接进入该目录看下。
图四

发现是一个管理界面来着。
想在这个目录下再扫描一波目录,结果发现全是403...
于是一波操作先下载图片,binwalk+gedit没发现啥
F12看看网页源码,发现一些注释


图五

这告诉我们里面有内联的base64编码的图片,以及作者的姓名,可能可以作为用户名登录。
然后编码如下所示:
图六

写了个简单的py脚本处理:

import os
import base64
s="""iVBORw0KGgoAAAANSUhEUgAAAW0AAABLCAIAAAA04UHqAAAAAXNSR0IArs4c6QAAAARnQU1BAACx
jwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAARSSURBVHhe7dlRdtsgEIVhr8sL8nqymmwmi0kl
S0iAQGY0Nb01//dWSQyTgdxz2t5+AcCHHAHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixw
B4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzkCwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL5kc+f
m63yaP7/XP/5RUM2jx7iMz1ZdqpguZHPl+zJO53b9+1gd/0TL2Wull5+RMpJq5tMTkE1paHlVXJJ
Zv7/d5i6qse0t9rWa6UMsR1+WrORl72DbdWKqZS0tMPqGl8LRhzyWjWkTFDPXFmulC7e81bxnNOvb
DpYzOMN1WqplLS0w+oaXwomXXtfhL8e6W+lrNdDFujoQNJ9XbKtHMpSUmn9BSeGf51bUcr6W+VjNd
jJQjcelwepPCjlLNXFpi8gktXfnVtYSd6UpINdPFCDlyKB3dyPLpSTVzZYnJR7R0WHEiFGv5NrDU
12qmC/1/Zz2ZWXi1abli0aLqjZdq5sqSxUgtWY7syq+u6UpINdOFeI5ENygbTfj+qDbc+QpG9c5
uvFQzV5aM15LlyMrfnrPU12qmC+Ucqd+g6E1JNsX16/i/6BtvvEQzF5YM2JLhyMLz4sNNtp/pSkg1
04VajmwziEdZvmSz9E0YbzbI/FSycgVSzZiXDNmS4cjCni+kLRnqizXThUqOhEkso2k5pGy00aLq
i1n+skSqGfOSIVsKC5Zv4+XH36vQzbl0V0t9rWb6EMyRaLLp+Bbhy31k8SBbjqpUNSHVjHXJmC2Fg
tOH0drysrz404sdLPW1mulDLUdSpdEsk5vf5Gtqg1xnfX88tu/PZy7VjHXJmC21H9lWvBBfdZb6Ws
30oZ0jk3y+pQ9fnEG4lNOco9UnY5dqxrhk0JZKezwdNwqfnv6AOUN9sWb6UMyR5zT2B+lwDh++Fl
3K/U+z2uFJNWNcMmhLzUe2v6n/dAWG+mLN9KGWI9EcKsMJl6o6+ecH8dv0Uu4PnkqDl2rGuiS8HK
ul9iMrFG9gqa/VTB8qORLuSTqF7fYU7tgsn/4+zfhV6aiiIsczlGrGvGTIlsLLhiPbnh6KnLDU12q
mD+0cKQ8nunpVcZ21Rj7erEz0WqoZ+5IRW1oXNB3Z/vBMWulSfYlm+hDLkcIAtuHEUzu/l9l867X34
rPtA6lmLi0ZrqX6gu37aIukRkVaylRfqpk+9HNkH85hNocTKC4P31Vebhd8fy/VzOTCkqeBWlrrFhe
EPdMjO3SSys7XVF+qmT5UcmT9+Ss//fyyOLU3kWoGLd59ZKb6Us10IZMjAP5b5AgAL3IEgBc5AsCLH
AHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixwB4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzk
CwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL3IEgBc5AsCLHAHgRY4A8Pn9/QNa7zik1qtycQAAAABJR
U5ErkJggg=="""
imagedata=base64.b64decode(s)
file=open("1.png","wb")
file.write(imagedata)
file.close()

解码之后生成的图片如下所示:


图七

猜测一波,这可能就是密码了,还有上面的用户名。
试一下居然成功了。。。


图八

看到这个就直接想到那啥了吧,上传漏洞,要么shell,要么菜刀一波。
图九

发现一波文件名上传限制,根据测试他只是检测了后缀名而已,因此没啥限制,直接把php的一句话木马文件改为jpg文件,然后直接上传后菜刀连接就可以了,如下:


图十

图十一

进去以后发现权限不是root,无法执行sudo,那就直接上python了,但是显示无法执行python???[黑人问号???]
图十二

然后尝试直接执行python -c看看,发现直接执行命令就可以生成伪终端了。
于是直接看看主目录下面有啥文件吧。
图十三

看到有一个关键用户eezeepz。
进去ls一下。
图十四

看到有一个note.txt,可能是作者的备注,暗中观察一波


图十五

看看写了啥
图十六

作者说了,可以在/tmp/目录下面创建一个文件runthis,然后把homedir里面的命令导进去,这里再次感叹一波真的需要学一学shell脚本,搞安全的真的啥都要会啊啊啊啊啊!!!
图十七

接下来看一下/home/下面的admin目录
图十八

除了几条命令以外,查看了cronjob.py明显是加载命令的py文件,另外一个是cryptpass.py,看名字就知道是加密代码,cat一波:
import base64,codecs,sys
def encodeString(str):
... base64string= base64.b64encode(str)
... return codecs.encode(base64string[::-1], 'rot13')
这里是做了base64编码之后,然后来个倒序,接着用了rot13编码(其实就是13的凯撒加密),然后我看了下两个txt文件,都是加密后的编码,那就直接上解码代码,如下:
def decodestring(str):
... tmp=codecs.decode(str[::-1],'rot13')
... return base64.b64decode(tmp)
把whoisyourgodnow.txt解密,如下:
图十九

解密出来为LetThereBeFristi!
同样的cryptedpass.txt解密出来为:
图二十

解密出来为thisisalsopw123
这样的话可以猜猜是什么的密码了,直接/etc/passwd一波


图二十一

可以看到介个用户名,fristigod等等,几个用户名都试试一波,发现fristigod是可以直接登录上去的。
图二十二

进去以后直接使用一波ls,发现啥都没有,不合常理,于是ls -la,解释一下,a是显示隐藏文件的选项。
图二十四

再探索一波
图二十五

发现了啥有一个叫doCom的文件是归属于root的
没啥线索,再回前面history cat一波
图二十六

可以看到fristigod用户一直在尝试用sudo执行各种命令,我们看看他能执行啥命令,sudo -l是看当前用户能执行啥命令
图二十七

这里的密码仍然是LetThereBeFristi!,然后尝试生成shell
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
这一步是模仿前面bash命令执行历史里面的命令来执行的。
图二十九

图三十

Flag Get!

总结:
1.主要根据线索来进入登录目录下
2.根据网页注释以及前端base64图片解码来登录
3.文件上传漏洞利用生成shell
4.利用python先生成伪终端
5.利用目录下的假面文件解密获取密码,然后再查看相应的可能用户尝试能不能su登录
6.登录以后尝试用ls -la查看隐藏文件,根据隐藏文件提示完成最终提权操作,获取flag

参考链接:http://sec-redclub.com/archives/740/
下载链接:https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,511评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,495评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,595评论 0 225
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,558评论 0 190
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,715评论 3 270
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,672评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,112评论 2 291
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,837评论 0 181
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,417评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,928评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,316评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,773评论 2 234
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,253评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,827评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,440评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,523评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,583评论 2 249

推荐阅读更多精彩内容