Vulnhub 靶場 EVILBOX: ONE
前期準備:
靶機地址:https://www.vulnhub.com/entry/evilbox-one,736/
kali攻擊機ip:192.168.11.129
靶機ip:192.168.11.194
一、資訊收集
1.使用nmap對目標靶機進行掃描
發現開放了22和80埠。
2. 80埠
看了下原始碼也沒發現什麼,掃一下目錄:
發現了 /robots.txt 和 /secret,檢視一下:
/robots.txt 中:
H4x0r 可能是個使用者名稱。
/secret 中:
是個空白的頁面,上面掃的結果顯示 /secret 下可能還有別的東西,再掃一下:
發現個 /evil.php 頁面:
也什麼都沒有,試試是不是檔案包含。
二、漏洞利用
一開始用了 file=../../ 嘗試了沒有發現什麼,用 wfuzz 掃一下:
發現 command 欄位可以,嘗試一下:
沒有問題,發現 mowree 使用者可能有用:
檢視一下他家目錄下可能有的檔案:
沒有什麼歷史,查一下 .ssh 目錄下的檔案:
發現有私鑰,而且也有 authorized_keys ,那就可以爆破一下然後 ssh 登入,先把私鑰複製下來:
密碼是:unicorn,ssh 登入:
登陸成功,檢視檔案後發現一個 flag:
三、提取
檢視一下許可權:
沒發現什麼可利用的,跑一變 linpeas.sh {LinPEAS 是一個指令碼,用於搜尋在 Linux/Unix*/MacOS 主機上提升許可權的可能路徑。}
檢視一下 output.txt :
我們剛才就是利用的 /.ssh/id_rsa 檔案獲得的密碼,檢視一些方便提權的資訊:
發現 /etc/passwd 檔案可以寫入,這就方便了,寫入一個使用者來提權就比較簡單,先做一個密碼:
按照 passwd 檔案中的格式編輯好:
貼上到 /etc/passwd 檔案中:
切換成自己寫的使用者:
成功獲取到 root 使用者: