vulnhub靶机练习-trollcave-v1-2

admin 2021年9月29日22:38:01vulnhub靶机练习-trollcave-v1-2已关闭评论212 views字数 1260阅读4分12秒阅读模式

信息搜集

首先对靶机进行信息搜集

1
nmap -sV -sC -A 192.168.169.139

image-20210820191335209

开放了80,22端口,Ubuntu系统,我们访问80端口看看,使用谷歌的插件进行第二波信息搜集

image-20210820191430722

发现他是Ruby写的网站,并且使用了Ruby on Rails框架,这里对后面的渗透有关键的影响

再来看网站内容,貌似是个cms,里面都是一些文章,还有注册登录窗口

漏洞挖掘

点击注册发现不让注册,对登陆进行了注入,未授权,爆破等方式,全都失败了

我们又去扫描网站的目录,也都是只有跳转到登陆窗口,这时候在网站的内容里发现了突破点

image-20210820191656900

我们点进来看看,他提示我们密码重置是在password_resets,我们直接访问也访问不到

image-20210820191728255

这时候实在没招了,直接看wp,在Ruby on Rails中应该访问password_resets/new

让我们重置密码,我输admin也不行,然后随便找了几个用户,发现xer这个可以重置,先试试吧

但是看到这里,我在想能不能来修改这个name来重置其他用户的密码呢

image-20210820191956153

我们继续重置完xer的密码以后,登陆上去发现了一个上传文件的点,但是我们上传的时候提示被关闭了

我们继续翻,翻到users界面发现了一堆用户以及他们的权限,我们这时候发现King是超级管理员权限,想着重置他的密码,但是提示只能重置普通用户,我们直接联想到刚刚的name参数,把name改成King成功重置,然后开启文件上传权限,传了php一句话以后发现不解析,GG

又去看WP,发现这里上传路径可控,可以上传 authorized_keys 到 rails 用户下的.ssh 就可以免密码登录 ssh

1
2
ssh-keygen -f rails  生成ssh密钥
mv rails.pub authorized_key

将 authorized_key 上传到/home/rails/.ssh/

image-20210820193221534

然后登陆SSH

1
2
3
mv rails id_rsa-rails 
chmod 600 id_rsa-rails
ssh -i id_rsa-rails [email protected]

image-20210820193344527

后渗透提权

首先先 看系统的版本 cat /etc/lsb-release

image-20210820193427349

直接找提权exp,这里给出exp 下载地址https://www.exploit-db.com/exploits/45010

我们先看看靶机上有没有gcc ,测试了一下没有,只能自己编译好上传了

image-20210820194016139

把exp下载到本地,gcc 45010.c -o exp,然后对exp进行base64编码 命令:base64 exp

image-20210820194125070

然后在靶机里新建,把base64编码复制进去,然后进行解码,然后给exp777权限,然后执行

1
2
3
vi 666.64
base64 -d 666.64 > 666
./666

image-20210820194408796

相关推荐: 【技术分享】关于JDK7u21 Gadgets两个问题的探讨

 最近在分析JDK7u21的Gadgets,有两个不解之处,阅读前辈们的文章发现并未提起:1.为什么有的POC入口是LinkedHashSet,有的是HashSet,两个都可以触发吗?2.关于map.put("f5a5a608", templates…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月29日22:38:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub靶机练习-trollcave-v1-2https://cn-sec.com/archives/560436.html