Vulnhub 靶场 DIGITALWORLD.LOCAL: SNAKEOIL

Vulnhub 靶场 DIGITALWORLD.LOCAL: SNAKEOIL

前期准备

靶机地址：https://www.vulnhub.com/entry/digitalworldlocal-snakeoil,738/
kali攻击机ip：192.168.147.190
靶机ip：192.168.147.200

一、信息收集

1.nmap扫描

开启22、80、8080端口。
2.80端口

看不出来什么，直接扫描目录。

还是啥也没。
3.8080端口

发现useful links有个网址。

是一些配置信息，，扫一下目录。

发现一些新目录，访问一下看看

users页面发现用户名和加密过的密码。
/registration 页面下：

提示错误的方法。
抓包换下请求方法试试。

修改完之后重新发包。

说 username 字段不能为空，那就加上 username 字段再发一遍。

又提示 password 字段不能为空，再加上 password 字段发一遍。

提示注册成功了，那就在 /login 页面登陆一下，要加上用户名和密码：

再访问一些别的页面（现在是在登陆状态中）：
/create 页面：

无法了解请求，大概是传入什么东西。

/run 页面：

说要以 url:port 形式提供要请求的 URL：

记得格式要换成 Content-Type: application/json， 在ajax中，如果没加contentType:"application/json"，那么data就对应的是json对象；反之，如果加了contentType:"application/json"，那么ajax发送的就是字符串。
现在又说需要 secret key ，访问一下 /secret 页面：

POST 方式不行，再换成 GET ：

还是不行，那就再加上之前返回的 cookie：

发现还是不行，想起来之前发现过一些配置信息，从中找到了 cookie 的名称：

再次提交 cookie：

得到 "secret_key": "commandexecutionissecret"，再在 /run 里面提交：

得到了返回信息，像是系统的进程信息，尝试一些别的指令：

发现可以注入，尝试往其中写入 shell：

发现不行，找了找python，nc等都不行，那试试能不能上传个 .ssh 私钥文件然后 ssh 登录。

二、制作ssh私钥登录

制作ssh私钥并复制到桌面，开启http服务。

访问下载。

查看有无上传成功。

时间上没问题，上传成功了，把 authorized_keys 文件移到 /home/patrick/.ssh/ 目录下：

查看一下 .ssh 目录下有没有：

没问题，那就直接 ssh 登录：

发现可以以 root 身份执行任意命令

不过需要 patrick 的密码，找找系统中的文件，看有没有线索，最后在 ~/flask_blog/app.py 文件中找到了：

切换成root用户。