Vulnhub-靶机-NULLBYTE: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址：https://www.vulnhub.com/entry/nullbyte-1,126/

nmap结果如下:

 

根据扫描的结果发现开放了80 端口，直接访问80端口

 

然后看都不看习惯使用dirb命令爆破猜测下目标靶机的目录，命令 dirb http://192.168.56.103

 

发现扫描出来了很多关于phpmyadmin的目录，在这个地方我尝试使用phpmyadmin的渗透技巧去测试，但是都没有结果，包括的方法有，默认账号密码，密码爆破，默认路径，确认目标版本看是否存在Nday，等操作，但实际突破口并不是在这里，于是峰回路转还是再看回来看下刚开始访问的那个首页的默认图片，将目标图片下载下来使用strings命令查看

 

还是发现了一些敏感信息 kzMb5nVYJw

刚开始以为这是密码，后来尝试发现这是个目录路径，我们访问http://192.168.56.103/kzMb5nVYJw/ 

 

得到如上结果，发现是一个key，需要输入字符，这里是带星号的，这一看是没有任何防护措施，于是使用burpsuite抓包进行密码爆破，爆破的字典就使用kali中的rockyou.txt进行爆破，最终得到结果如下：

 

输入密码之后得到如下结果

 

这是个输入框，随便输入一个数字看看

 

看到这类的URL，第一感觉存在sql注入，直接丢到sqlmap中跑

 

还真有注入，具体详细注入过程我就不展示了，注入的过程命令给大家看看

 

得到最终的注入结果如下：

 

根据网上的提示和经验，这里猜测下是不是base64编码看看

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d

发现解码出来的真是一个加密的hash，将其重定向到一个文本上去

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d  > hash.txt

 

然后使用hashcat命令加载字典rockyou进行破解hash

hashcat -m 0 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

 

最终破解出来了结果是omega，那么我们就可以目标存在一个用户名为ramses密码为omega的用户，尝试使用ssh登录看看，因为使用nmap进行全端口扫描识别出来了目标ssh端口是777，那么我们直接连接这个端口

 

这里尝试了sudo没有看见特权用户，然后看看隐藏文件，发现有个执行命令的历史记录文件，直接cat看看

 

看到有个backup文件夹，过去看看

 

看见文件procwatch且是二进制文件，而且每个用户都有执行权限，执行一下看看

 

发现像是使用shell脚本的形式执行了ps命令，这里如果懂二进制的话，大可以直接去调试二进制文件看看，可以参考：https://www.nuharborsecurity.com/nullbyte-1-walkthrough/

知道上面的结果那么我们可以劫持ps命令提权了

可以使用下面方法提权

?

1 2 3 4

cd /var/www/backup ln -s /bin/sh ps export PATH=.:$PATH ./procwatch

也可以生成一个ps文件，然后里面写/bin/sh就可以，给这个文件所有权限然后执行二进制即可提权

最终得到目标靶机的proof.txt