Vulnhub 靶場 HACKSUDO: PROXIMACENTAURI
前期準備:
靶機地址:https://www.vulnhub.com/entry/hacksudo-proximacentauri,709/
kali攻擊機ip:10.0.2.7
靶機ip:10.0.2.13
一、資訊收集
1.使用nmap對目標靶機進行掃描
發現開放了22(filtered 狀態,大概要埠敲門)和80(pluck 4.7.13)埠。
2. 80埠
nmap 掃描是發現是 pluck cms 4.7.13,網上查了一下發現有檔案上傳漏洞:
不過要登入之後使用,那就找一下有沒有登入的使用者名稱和密碼,先掃一下目錄:
挨個訪問一下:
/login.php 登入介面:
/planet 頁面:
檢視下 travel/:
檢視原始碼發現:
說開啟傳送門前往 proxima,RA 表示開啟,Dec 表示關閉 Proxima blackwhole 門戶,大概指的是埠敲門的埠,從 https://g.co/kgs/F9Lb6b 獲取座標:
在連線的搜尋中加上 co-ordinate :
那麼 13、29、43是埠敲門的三個埠:
knock 10.0.2.13 14 29 43
埠敲門後發現 ssh 在開啟狀態,嘗試連線一下,雖然不知道使用者名稱和密碼:
發現給了個連結,訪問一下:
是個字典,用這個字典爆破一下前面發現的 /login.php 密碼,抓下用密碼登入時的包:
設定字典:
爆破:
hacktheplanet
二、漏洞利用
利用一開始發現的漏洞指令碼攻擊:
python3 49909.py 10.0.2.13 80 hacktheplanet ""
訪問一下 shell.phar:
獲得了使用者的 shell。這樣用著不方便,用 nc 連線:
發現有 python3,那就用 python3 的反彈 shell:
nc 連線成功,升級一下 shell。
三、提權
檢視一下使用者:
發現上面三個使用者,檢視一下檔案:
在 /var/backups 下的 mysql.bak 檔案中發現數據庫的使用者名稱密碼,檢視一下資料庫中有沒有使用者的密碼:
在 proximacentauri 庫中發現 proxima
登陸成功。並且發現一個 flag:
看一下怎麼提權到 root:
沒有 sudo,也沒有可利用的 SUID 檔案。檢視一下可執行檔案:
getcap -r / 2>/dev/null
發現個 perl 副本,嘗試提權:
/home/proxima/proximaCentauriA/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/bash";'
成功提權到 root,檢視 flag:
完成。