Vulnhub 靶场 HACKSUDO: FOG

前期准备：

靶机地址：https://www.vulnhub.com/entry/hacksudo-fog,697/

kali攻击机ip：192.168.11.129
靶机ip：192.168.11.145

一、信息收集

1.使用nmap对目标靶机进行扫描

发现开放了21、22、80、443、3306等端口。

2. 21端口

需要密码。

3. 80端口

查看源码：

发现一个页面 index1.html：

说是凯撒密码，并且给了个地址，访问一下：

说是简单音频隐写，是提取 wave 音频文件中的隐写，应该不是之前查看主页源码时发现 smoke.mp4 文件，先把 SoundStegno 下载下来。

扫一下目录：

/cms：

是个 CMSMadeSimple CMS 网站。

/dict.txt 是个字典，先下载下来：

/fog

里面是空的。

二、漏洞利用

查找一下 CMSMadeSimple CMS 的漏洞，先查看一下版本：

是 CMS-Made-Simple 2.2.5，查找一下漏洞：

sql注入可利用，复制一下 46635.py，尝试利用：

python2 46635.py -u http://192.168.11.145/cms

代码是 python2 格式的，termcolor 模块没装上，尝试换源也不行。最后我把 python2 改成 python3 的格式（也就是把 print 的输出加上括号）例如这样：

都改完后运行：

python3 46635.py -u http://192.168.11.145/cms

Salt for password found: 21ca796356464b52
Username found: hacksudo
Email found: info@hacksudo.com
Password found: cd658361db0ee541e7fc728aba5570d3

找到了用户名邮箱和密码（其实用户名早在主页就有，也就用户名有用。不必多此一举，只是想试试这个漏洞），扫一下 cms 中的登录界面：

/admin

hacksudo 用户名应该是统一的，ftp中应该也是，之前也发现了字典，尝试爆破一下：

login: hacksudo password: hackme

ftp 登陆一下：

发现一个 flag，下载下来查看一下：

在 /hacksudo_ISRO_bak 目录下发现三个文件，都下载下来看一下

两个文件没什么有用的信息，压缩包需要密码，爆破一下：

zip2john secr3tSteg.zip | tee hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

密码是 fooled，解压压缩包，发现一个音频文件 hacksudoSTEGNO.wav，用之前的 SoundStegno 提取隐写信息：

python3 ExWave.py -f ../hacksudoSTEGNO.wav

Caesar Cipher: Shift by 3
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
zzzz.orfdokrvw/irj Xvhuqdph=irj:sdvvzrug=kdfnvxgrLVUR

结合之前说的凯撒解码一下：

wwww.localhost/fog Username=fog:password=hacksudoISRO

得到用户名密码，尝试登陆一下系统：

/cms/admin：

登录进了系统，查看一下：

发现有文件上传的地方，抓包上传一个 shell 试试：

进过测试 发现 phtml 文件能上传，访问并用 nc 监听：

连接成功，升级一下 shell。

三、提权

查看系统中的文件：

在 /var/www 下发下 flag2。查看有什么用户：

想办法跳到 isro 用户上。在 /var/www 下发下 flag2。查看一下用户有权访问的 SUID 二进制文件：

find / -perm -4000 -exec ls -al {} \; 2>/dev/null

发现以 root 具有 SUID 权限：

可以用它来读取 shadow 文件，然后爆破密码 hash，不过我直接爆出了 isro 用户的密码：

很快就爆出来了。ssh 登录查看权限：

好像 ls 提不了权，查看一下系统内的文件：

运行一下 fog 试试：

发现是以 root 身份运行的，os.system("/bin/bash -i") 切换到 root：

得到 flag。