【Vulnhub】The Ether
靶机说明
下载链接
运行环境
-
本靶机提供了VMware的镜像,从Vulnhub下载之后解压,运行vmx文件即可
-
靶机:本靶机默认使用了自动获取的上网模式。运行靶机之后,将会桥接到物理网卡,接入网络。
-
攻击机:Kali虚拟机运行于vmware,同样使用桥接模式,即可访问靶机。
靶机概况
本靶机有一定难度,不适合初学者。
本靶机的渗透目标为渗透进靶机并且找到系统中隐藏的Flag值。
官方提供了一个提示:靶机中有一个相关的文件,在渗透过程中发挥重要作用,但是不要浪费时间试图去解密这个混淆后的文件
信息收集
主机发现
目标靶机的ip地址为192.168.43.17
端口扫描
分析nmap扫描结果可知,目标主机开放了22端口和80端口,22端口是ssh服务,80端口是http服务,web容器是Apache/2.4.18,操作系统是ubuntu
目录扫描
使用dirb默认字典对目标主机80端口进行目录扫描
漏洞挖掘
先对ssh服务的用户名密码进行简单爆破一下试试有没有使用弱口令
访问http://192.168.43.17,浏览一下网站的功能。
在about页面,发现一个邮箱,之后有登录界面的时候可能有用,网址是典型的文件包含漏洞的特征
测试一下是否存在文件包含漏洞
使用burp抓包,发送到repeater,包含/etc/passwd发现并没有回显
尝试通过php伪协议读取php文件源码,也没有正确回显。
将数据报发送到intruder模块,使用自己积累的的本地文件包含模式测试字典跑一下
从扫描结果可以看出,有几个文件是有回显的。特别是/var/log/auth.log文件,点进去发现了这期我们用hydra进行ssh爆破的日志
既然只有的时候,我们就可以通过将我们的恶意代码以ssh用户名的方式写入到/var/log/auth.log日志中,然后通过文件包含漏洞触发,达到我们想要的目的。
下面我们将 <?php system($_GET[cmd]);?>写入日志:
然后触发
可以看到,命令成功执行,下面我们反弹shell
首先在kali开启监听6666端口
然后执行bash反弹shell命令
需要进行url编码
发送请求包之后,本地并没有接受到shell,反弹失败了。
再使用python脚本反弹试试
可以成功反弹shell
自此,我们成功拿到了普通用户的权限。
权限提升
sudo -l参看以下权限
提示可以使用sudo权限不需要密码执行xxxlogauditorxxx.py,那我们就运行一下这个脚本看看
进一步测试发现,可以通过这个脚本执行命令
并且还是以root身份执行的。
于是我们就可以通过python脚本和/var/log/auth.log |命令进行配合获得root权限
在/root目录下找到了flag.png文件
我们用scp命令将其复制到kali,发现没办法输入kali密码,所以失败了。
换一种方法: 把他复制到公共目录,然后使用wget下载下来
打开发现是这么一个图片
cat一下,发现有一段用base64编码的flag字符串
解码一下即可得到最终flag
永远相信 永远热爱