Vulnhub實戰-JIS-CTF_VulnUpload靶機?

胖三斤1發表於2021-10-09

Vulnhub實戰-JIS-CTF_VulnUpload靶機

下載地址:http://www.vulnhub.com/entry/jis-ctf-vulnupload,228/

你可以從上面地址獲取靶機映象,然後匯入VM中開啟就行。即刻開幹!!?

1.獲取靶機ip,以及開啟了哪些服務

我們在VM中匯入靶機開啟之後,就不用管了,在kali裡面進行主機探測,埠掃描,服務發現

我們首先進行主機發現:

因為我的區域網內虛擬機器開得比較多,如果你也有這種情況,你可以通過MAC地址找到對應的IP地址,VM裡面MAC地址在設定裡面檢視。我們發現192.168.33.117就是那臺靶機。接下來進行埠掃描,服務探測!?

 nmap -sn 192.168.33.0/24  

2.埠掃描,服務發現

nmap -sV -p- -O 192.168.33.117   

我們可以看到開啟了22,80埠,證明開啟了SSH,web服務,還發現了作業系統是ubuntu,這三個資訊將是下面進行滲透的關鍵。

3.系統漏洞分析

針對 SSH 服務,我習慣從弱口令和系統漏洞兩方面進行攻擊。弱口令方面,我用常見使用者名稱和常見密碼進行暴破,雖然機率不大:

  1. 我們可以用kali自帶的hydra工具進行SSH的賬號密碼爆破,字典自備噢!?

    https://lecloud.lenovo.com/share/4iPvrb3BgyoW4aMwu(密碼:k9zu)
    你也可以用這個字典!不要問我為啥不分享百度網盤,因為我沒有會員!?
    
    payload: hydra -L '/root/fuzzDicts-master/userNameDict/user.txt' -P '/root/fuzzDicts-master/passwordDict/top6000.txt' -e sr -f -V -t 30 -I 192.168.33.117 ssh
    

這個得等他掃一會,我們等會再來看看,大概率是掃不出來的!?比較耗時間!

SSH 服務的系統漏洞查詢方面,我推薦 searchsploit 工具。精確搜尋 OpenSSH 7.2p2(這個是我們上面發現的版本!):

searchsploit OpenSSH 7.2p2

我們發現存在一個使用者名稱列舉漏洞,剛好,要能找到有效使用者名稱,將有助於暴破 SSH 口令。但是這個py檔案我的機器少了一些模組,跑不起來。不過大概率應該跟上面差不多?!我們也可以看看apache版本apache httpd 2.4.18存在什麼漏洞,讓我來瞅瞅!?

先前服務探測時找到的準確版本為 apache httpd 2.4.18,那麼只有一個漏洞記憶體洩漏的漏洞,沒多大價值。

這個階段系統漏洞只能分析到這個程度,雖然知道發行套件為 ubuntu,但不知道具體版本、系統架構,很難準確的找到可用的作業系統漏洞,所以,沒必要繼續在系統漏洞層面耗時,後續如果能拿到 webshell,提權時再來深入分析,現在移步 web 應用層面。

4.Web應用分析

  1. 訪問之前找到的 web 埠自動重定向到 http://192.168.56.6/login.php:

看了下 html 原始碼,沒啥有價值的資訊;列舉使用者名稱也不能;或許可以暴破下弱口令,剛才的 SSH 暴破還沒完呢,web 登入暴破還是先放一放,看看有無其他頁面。

大概 2015 年之前,掃 web 埠 – 找 web 後臺 – 弱口令登後臺 – 上傳一句話,是常見的高成功率的攻擊手法,其中,能否找到後臺地址,是成功的關鍵。換言之,我需要發現更多 web 內容。具體而言,我希望找到更多檔案、頁面、子目錄,最好能找到原始碼打包的敏感檔案、後臺運維的管理頁面、存放業務邏輯的子目錄,以擴充攻擊面。通常,我習慣結合列舉和爬蟲兩種方式來發現 web 內容。

列舉之前,藉助 firefox 外掛 wappalyzer 確認後端語言為 php:

因為確定了該靶機的後端語言是用PHP寫的,所以我們通過dirsearch目錄掃描工具掃描一下php的目錄:

python3 dirsearch.py -u 'http://192.168.33.117' -e php -i 200

我們發現掃出來了幾個目錄,憑我CTF的直覺,robots.txt裡面可能有好東西,讓我來瞅瞅!的?

網頁開啟robots.txt,我們發現如下頁面

1.第一個flag

我們開啟/flag檔案獲得第一個flag

2.第二個flag

接著我們依次檢視剩餘各個目錄,我們發現其他的都打不開,只有/admin_area/,/uploaded_files這兩個頁面能夠開啟,我們通過uploaded頁面猜測應該存在上傳點,開啟/admin原始碼之後發現第二個flag,還有一對使用者名稱密碼。

3.第三個flag

我們通過這個使用者名稱密碼登入之後發現果然有一個上傳點。?心機之蛙,一直摸你肚子!果然不出所料

接下來我猜你們應該也能想到,上傳一句話木馬直接連蟻劍幹!!!?

一句話木馬我相信在做的各位都會上傳,這裡並沒有做任何限制!?,然後我們進入蟻劍就是一頓看,發現有一個flag.txt和一個hint.txt,我們在hint.txt發現第三個flag,然後還有一句話,提示讓我們找到使用者technawi的密碼去讀這個flag.txt,果然這個flag.txt不能直接開啟?

4.第四個flag

剛剛上面看到了,我們接下來需要通過去找到technawi使用者的密碼,我們通過linux的命令去搜尋technawi使用者有關的檔案!直接在蟻劍的虛擬終端執行即可!

find / -user technawi -type f 2>/dev/null
//還是吃了linux命令不熟的虧呀?,這個2>/dev/null一開始並不知道啥意思,百度一下才知道這是將標準出錯都丟入到linux的黑洞檔案了,看不見了,終端就不會有那麼多冗餘資訊,詳細細節請自行百度!?

接下來我們挨個開啟看看,發現在/etc/mysql/conf.d/credentials.txt檔案記憶體在technawi使用者的密碼哦,並且還有第四個flag。

不要忘了這裡還有應該.sudo_as_admin_successful檔案,後面會用到噢!?

5.第五個flag

拿到這個使用者名稱密碼之後我們應該幹嘛呢,還記得剛開始掃描埠發現了22埠開啟了SSH服務嘛,連線SSH去檢視最後一個flag.txt檔案,應該最後一個flag在那裡面了。

 ssh technawi@192.168.33.117

發現成功連線,直接去/var/www/html目錄下面去讀取flag.txt,成功獲取第五個flag!!!?

5.提權

不要忘了剛剛說到的.sudo_as_admin_successful檔案,說明technawi使用者能夠用自己的密碼登入root使用者

最後成功獲得5個flag!提權成功!!!★,°:.☆( ̄▽ ̄)/$:.°★


相關文章