本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/nullbyte-1,126/
nmap结果如下:
根据扫描的结果发现开放了80 端口,直接访问80端口
然后看都不看习惯使用dirb命令爆破猜测下目标靶机的目录,命令 dirb http://192.168.56.103
发现扫描出来了很多关于phpmyadmin的目录,在这个地方我尝试使用phpmyadmin的渗透技巧去测试,但是都没有结果,包括的方法有,默认账号密码,密码爆破,默认路径,确认目标版本看是否存在Nday,等操作,但实际突破口并不是在这里,于是峰回路转还是再看回来看下刚开始访问的那个首页的默认图片,将目标图片下载下来使用strings命令查看
还是发现了一些敏感信息 kzMb5nVYJw
刚开始以为这是密码,后来尝试发现这是个目录路径,我们访问http://192.168.56.103/kzMb5nVYJw/
得到如上结果,发现是一个key,需要输入字符,这里是带星号的,这一看是没有任何防护措施,于是使用burpsuite抓包进行密码爆破,爆破的字典就使用kali中的rockyou.txt进行爆破,最终得到结果如下:
输入密码之后得到如下结果
这是个输入框,随便输入一个数字看看
看到这类的URL,第一感觉存在sql注入,直接丢到sqlmap中跑
还真有注入,具体详细注入过程我就不展示了,注入的过程命令给大家看看
得到最终的注入结果如下:
根据网上的提示和经验,这里猜测下是不是base64编码看看
echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d
发现解码出来的真是一个加密的hash,将其重定向到一个文本上去
echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d > hash.txt
然后使用hashcat命令加载字典rockyou进行破解hash
hashcat -m 0 -a 0 hash.txt /usr/share/wordlists/rockyou.txt
最终破解出来了结果是omega,那么我们就可以目标存在一个用户名为ramses密码为omega的用户,尝试使用ssh登录看看,因为使用nmap进行全端口扫描识别出来了目标ssh端口是777,那么我们直接连接这个端口
这里尝试了sudo没有看见特权用户,然后看看隐藏文件,发现有个执行命令的历史记录文件,直接cat看看
看到有个backup文件夹,过去看看
看见文件procwatch且是二进制文件,而且每个用户都有执行权限,执行一下看看
发现像是使用shell脚本的形式执行了ps命令,这里如果懂二进制的话,大可以直接去调试二进制文件看看,可以参考:https://www.nuharborsecurity.com/nullbyte-1-walkthrough/
知道上面的结果那么我们可以劫持ps命令提权了
可以使用下面方法提权
cd /var/www/backup ln -s /bin/sh ps export PATH=.:$PATH ./procwatch
也可以生成一个ps文件,然后里面写/bin/sh就可以,给这个文件所有权限然后执行二进制即可提权
最终得到目标靶机的proof.txt
