vulnhub-maEnubox

下载地址:https://www.vulnhub.com/entry/enubox-mattermost,414/

前言:

作为小白(后面省略好几个字),文中提到的工具仅用于学习。

Kali:192.168.109.129

目标机:192.168.109.140

信息收集:

vulnhub-maEnubox_第1张图片

vulnhub-maEnubox_第2张图片

vulnhub-maEnubox_第3张图片

vulnhub-maEnubox_第4张图片

Udp扫描:

vulnhub-maEnubox_第5张图片

漏洞挖掘:

从nmap扫描结果来看,ftp可以匿名登录,先登录ftp,看看有没有有用信息。

vulnhub-maEnubox_第6张图片

vulnhub-maEnubox_第7张图片

啥也没有。接下来先访问一下这个8065端口。

vulnhub-maEnubox_第8张图片

登录界面,mattermost是个时时通讯的通讯平台。对于模板,可以看看有没有直接利用的漏洞。最好能找找版本,所以可以先简单爆破一下目录,看有没有提示。然而只找到了robots.txt。

但是内容没啥。那就先看看已知漏洞吧。当然也可以试试弱密码。但都没有。进一步爆破目录试试。爆破目录都是image目录,而且也没有结果。唯一的变化就是目录名变到了redirect_to参数后面,参数翻译是重定向到。

vulnhub-maEnubox_第9张图片

一想到重定向,会不会有包含文件漏洞,但是没有,远程、本地都没有,输入百度网址,网页都跳转不过去。从udp扫描结果来看,出现一个tftp,连接一下tftp。但是又有迷惑行为,就是连接上后,列不出文件,想起访问80端口的时候有个README.md文件,可以尝试下载,结果下载成功。

vulnhub-maEnubox_第10张图片

打开查看

vulnhub-maEnubox_第11张图片

好像是用户名和密码。现在尝试一下登录。

vulnhub-maEnubox_第12张图片

登录成功。拿到后台权限后,就要getshell,getshell就想到类似于WordPress那种,修改主题页面,结果找了一圈都没有,反而发现了一个文件上传点,就是上传头像的地方,但是传了一堆都没用。看着首页密密麻麻的英文,发现反复出现一个zoom,虽然也不知道是啥,但是在插件管理里发现了这个zoom插件。

vulnhub-maEnubox_第13张图片

我先点击的enable,但是报错,于是就进入了setting,发现一个本地网址。

访问看一下,发现ftp的用户名和密码。

登录ftp

vulnhub-maEnubox_第14张图片

登录后发现是一个用户目录,此时看看有没有.ssh文件,如果有的话就本地生成密钥,然后ssh连接。

vulnhub-maEnubox_第15张图片

没有的话可以创建,但是发现一个users文件夹,好奇心驱使我进入看看。一层层进入后,发现一个可读文件。

下载下来,看看内容是什么。

我靠。直接写密钥吧(往.ssh文件夹里面添加公钥,进行ssh登录)。先看看有没有写权限,没有写权限(图略)。想来想去,ftp登录密码会不会是ssh登录的密码,尝试一下(图略),然而也不是。后来,隔了好久,在网上看到了别人的解答办法,我惊奇的发现,这个“Welcome!!!”居然是ssh连接的密码!用户名是mattermost。

vulnhub-maEnubox_第16张图片

提权:

接下来继续自己走,在该用户的文件夹下发现了一个文件。使用“find *”是因为

vulnhub-maEnubox_第17张图片

vulnhub-maEnubox_第18张图片

还是带s的可执行文件,先执行以下看看吧。

突然想起有个README文件啊,看看,发现密码。

vulnhub-maEnubox_第19张图片

再次执行看看。现实很打脸。

仔细翻译README后,结合README的创建日期,发现密码是过期了。下一步是要找新的密钥。翻译是联系服务台,可是,服务台去哪找,不如分析一下这个文件,逆向看看有没有什么破绽。使用Python开个服务器,下载过来,前提是它确实可以被复制。然而Python没有这个SimpleHTTPServer模块。80端口没写权限,那就去找mattermost文件。然而没找到。然而用nc传吧。

获取文件后,进行反编译(逆向确实不会,得到结果是因为虽然不了解原理,但是用用kali自带的工具看看,学习一下使用工具,然后就搞出了下面这个图,工具是rd2,对于下面这个图大致能看懂一点。看样子也要学学逆向了),

vulnhub-maEnubox_第20张图片

发现如果等于0xf447,则通过,十六进制转化后获得密码62535。

提权成功。

你可能感兴趣的:(vulnhub)