Vulnhub系列靶机-Infosec_Warrior1

Vulnhub系列靶机-Infosec_Warrior1

1. 信息收集

1.1 主机扫描

arp-scan -l

1.2 端口扫描

nmap -A -p- 192.168.188.191

发现22端口和80端口是开发的。

访问Web页面

发现是apache服务。

使用浏览器插件Wappalyzer查看。

系统是CentOS系统。

1.3 目录爆破

dirsearch -u http://192.168.188.191 -e * -i 200

发现一个sitemap.xml

2. 漏洞探测

浏览器访问sitemap.xml

访问192.168.188.191/index.htnl，有一张gif格式的动态图（蛮搞笑的）。

查看页面源代码，发现一个隐藏的form表单，让其显示出来。

右键点击需要删除的位置，点击Edit As HTML

删除hidden='True'。

这样页面上就多了一个提交的输入框

由于靶机是在Centos系统上，所以在输入框中输入ls，没有得到正常的回显。

之前的表单是GET方式提交的，尝试将from表单替换成post请求方式。

再次在输入框中输入ls，回显成功。

查看cmd.php，在输入框中输入cat cmd.php，发现后端接受的数据就是POST方式。

$user="isw0";
$pass="123456789blabla";

3. 漏洞利用

获取了用户名和密码信息后，之前在端口扫描的时候探测出了22端口，尝试ssh连接。

ssh [email protected]

使用另一种方式连接

ssh -oHostKeyAlgorithms=+ssh-rsa [email protected]

命令解析：

• ssh: SSH命令，用于远程登录到其他计算机。
• -o: 选项参数的前缀，用于指定一些特定的配置选项。
• HostKeyAlgorithms=+ssh-rsa: 这是一个指定主机密钥算法的配置选项。+ssh-rsa表示允许使用RSA算法进行主机认证。主机密钥是用于验证远程主机身份的一种机制。
• [email protected]: 用户名和目标主机的IP地址。isw0是用户名。

连接成功，但是当前用户的权限较低，进行提权。

4. 权限提升

使用sudo -l 查看有哪些可以以root身份执行的命令

sudo -l

查看提权命令网站。

查找rpm命令字的提权方式。

sudo rpm --eval '%{lua:os.execute("/bin/sh")}'