vulnhub -- hacksudo: Thor

靶机下载地址:下载链接
这里通过arp-scan -l来发现主机,主机IP地址:10.0.2.7

信息搜集

namp对IP地址进行端口扫描(开放21,22,82端口)
vulnhub -- hacksudo: Thor_第1张图片
通过80端口访问,首页是一个登录页面,尝试用弱密码进行登录一下,发现不能登录成功
vulnhub -- hacksudo: Thor_第2张图片
接着访问一下其他页面,发现concat下有一些基本信息(可以搜集尝试登录,但无果),其他页面也没有什么有用信息
vulnhub -- hacksudo: Thor_第3张图片
接下来用dirsearch进行目录扫描,可以发现有一些文件可以访问 README.md以及还有一个后台登录页面
vulnhub -- hacksudo: Thor_第4张图片
查看README.md文件,发现这个网站是作者在GitHub上面发布了源代码的,同时这里面有一个用户名为admin的账号密码
vulnhub -- hacksudo: Thor_第5张图片
尝试登录home.php,发现还是错误,但是我们还有一个后台登录,发现是administrator登录的
vulnhub -- hacksudo: Thor_第6张图片
用admin和password123登录,发现登录成功
vulnhub -- hacksudo: Thor_第7张图片
然后进一步点击发现应该存在SQL注入和逻辑漏洞,但是无法得到root权限,前面扫描中还有一个重要信息,是有一个cgi-bin的目录,但是响应码是403,应该是权限不能够访问(存在CGI接口,有可能用shell脚本来处理客户端提交的数据和请求,就有可能条用cgi-bin/目录下的shell脚本来处理),所以,这里再扫描一下cgi-bin/目录下的sh,cgi这样的文件,发现有两个文件
vulnhub -- hacksudo: Thor_第8张图片

漏洞发现

通过nmap的脚本shellshock来检测是否存在漏洞
vulnhub -- hacksudo: Thor_第9张图片

漏洞利用

发现这个漏洞可以利用,并且还有CVE编号,可以直接采用网上的exp来获取shell,这里用shell脚本,来写一个用bash来执行的函数,并且查看是否有nc
在这里插入图片描述
有nc之后,将命令换成nc反弹的命令
在这里插入图片描述
成功反弹shell
vulnhub -- hacksudo: Thor_第10张图片

权限提升

通过sudo -l,可以发现一个thor用户,
vulnhub -- hacksudo: Thor_第11张图片
再用/etc/passwd查看一下用户,发现thor可以执行bin/bash
vulnhub -- hacksudo: Thor_第12张图片
可以通过/home/thor/./hammer.sh进入thor用户,并且需要输入一些什么,尝试都输入有关系统的命令,发现可以执行
vulnhub -- hacksudo: Thor_第13张图片
然后输入bash,执行thor用户的shell
vulnhub -- hacksudo: Thor_第14张图片
同理查看一下sudo -l,发现再不用密码的情况下可以执行两个命令
vulnhub -- hacksudo: Thor_第15张图片
这里可以用cat命令来查看/etc/shadow,然后来爆破root账户,还可以通过service来提权
关于利用操作系统权限配置不当来提权的相关操作:https://gtfobins.github.io/
vulnhub -- hacksudo: Thor_第16张图片
总结:主要突破点shellshock破壳漏洞以及GTFOBins提权

你可能感兴趣的:(vulnhub,php,nginx,web安全)