Vulnhub實戰-JIS-CTF_VulnUpload靶機?

Vulnhub實戰-JIS-CTF_VulnUpload靶機

下載地址：http://www.vulnhub.com/entry/jis-ctf-vulnupload,228/

你可以從上面地址獲取靶機映象，然後匯入VM中開啟就行。即刻開幹！！?

1.獲取靶機ip，以及開啟了哪些服務

我們在VM中匯入靶機開啟之後，就不用管了，在kali裡面進行主機探測，埠掃描，服務發現

我們首先進行主機發現：

因為我的區域網內虛擬機器開得比較多，如果你也有這種情況，你可以通過MAC地址找到對應的IP地址，VM裡面MAC地址在設定裡面檢視。我們發現192.168.33.117就是那臺靶機。接下來進行埠掃描，服務探測！?

 nmap -sn 192.168.33.0/24  

2.埠掃描，服務發現

nmap -sV -p- -O 192.168.33.117   

我們可以看到開啟了22，80埠，證明開啟了SSH，web服務，還發現了作業系統是ubuntu，這三個資訊將是下面進行滲透的關鍵。

3.系統漏洞分析

針對 SSH 服務，我習慣從弱口令和系統漏洞兩方面進行攻擊。弱口令方面，我用常見使用者名稱和常見密碼進行暴破，雖然機率不大：

1. 我們可以用kali自帶的hydra工具進行SSH的賬號密碼爆破，字典自備噢！?

   https://lecloud.lenovo.com/share/4iPvrb3BgyoW4aMwu（密碼：k9zu）
   你也可以用這個字典！不要問我為啥不分享百度網盤，因為我沒有會員！?
   

   payload: hydra -L '/root/fuzzDicts-master/userNameDict/user.txt' -P '/root/fuzzDicts-master/passwordDict/top6000.txt' -e sr -f -V -t 30 -I 192.168.33.117 ssh
   

這個得等他掃一會，我們等會再來看看，大概率是掃不出來的！?比較耗時間！

SSH 服務的系統漏洞查詢方面，我推薦 searchsploit 工具。精確搜尋 OpenSSH 7.2p2(這個是我們上面發現的版本！)：

searchsploit OpenSSH 7.2p2

我們發現存在一個使用者名稱列舉漏洞，剛好，要能找到有效使用者名稱，將有助於暴破 SSH 口令。但是這個py檔案我的機器少了一些模組，跑不起來。不過大概率應該跟上面差不多?！我們也可以看看apache版本apache httpd 2.4.18存在什麼漏洞，讓我來瞅瞅!?

先前服務探測時找到的準確版本為 apache httpd 2.4.18，那麼只有一個漏洞記憶體洩漏的漏洞，沒多大價值。

這個階段系統漏洞只能分析到這個程度，雖然知道發行套件為 ubuntu，但不知道具體版本、系統架構，很難準確的找到可用的作業系統漏洞，所以，沒必要繼續在系統漏洞層面耗時，後續如果能拿到 webshell，提權時再來深入分析，現在移步 web 應用層面。

4.Web應用分析

1. 訪問之前找到的 web 埠自動重定向到 http://192.168.56.6/login.php：

看了下 html 原始碼，沒啥有價值的資訊；列舉使用者名稱也不能；或許可以暴破下弱口令，剛才的 SSH 暴破還沒完呢，web 登入暴破還是先放一放，看看有無其他頁面。

大概 2015 年之前，掃 web 埠 – 找 web 後臺 – 弱口令登後臺 – 上傳一句話，是常見的高成功率的攻擊手法，其中，能否找到後臺地址，是成功的關鍵。換言之，我需要發現更多 web 內容。具體而言，我希望找到更多檔案、頁面、子目錄，最好能找到原始碼打包的敏感檔案、後臺運維的管理頁面、存放業務邏輯的子目錄，以擴充攻擊面。通常，我習慣結合列舉和爬蟲兩種方式來發現 web 內容。

列舉之前，藉助 firefox 外掛 wappalyzer 確認後端語言為 php：

因為確定了該靶機的後端語言是用PHP寫的，所以我們通過dirsearch目錄掃描工具掃描一下php的目錄：

python3 dirsearch.py -u 'http://192.168.33.117' -e php -i 200

我們發現掃出來了幾個目錄，憑我CTF的直覺，robots.txt裡面可能有好東西，讓我來瞅瞅!的?

網頁開啟robots.txt，我們發現如下頁面

1.第一個flag

我們開啟/flag檔案獲得第一個flag

2.第二個flag

接著我們依次檢視剩餘各個目錄，我們發現其他的都打不開，只有/admin_area/,/uploaded_files這兩個頁面能夠開啟，我們通過uploaded頁面猜測應該存在上傳點，開啟/admin原始碼之後發現第二個flag，還有一對使用者名稱密碼。

3.第三個flag

我們通過這個使用者名稱密碼登入之後發現果然有一個上傳點。?心機之蛙,一直摸你肚子!果然不出所料

接下來我猜你們應該也能想到，上傳一句話木馬直接連蟻劍幹！！！?

一句話木馬我相信在做的各位都會上傳，這裡並沒有做任何限制！?，然後我們進入蟻劍就是一頓看，發現有一個flag.txt和一個hint.txt，我們在hint.txt發現第三個flag，然後還有一句話，提示讓我們找到使用者technawi的密碼去讀這個flag.txt，果然這個flag.txt不能直接開啟?

4.第四個flag

剛剛上面看到了，我們接下來需要通過去找到technawi使用者的密碼，我們通過linux的命令去搜尋technawi使用者有關的檔案！直接在蟻劍的虛擬終端執行即可！

find / -user technawi -type f 2>/dev/null
//還是吃了linux命令不熟的虧呀?，這個2>/dev/null一開始並不知道啥意思，百度一下才知道這是將標準出錯都丟入到linux的黑洞檔案了，看不見了，終端就不會有那麼多冗餘資訊，詳細細節請自行百度！?

接下來我們挨個開啟看看，發現在/etc/mysql/conf.d/credentials.txt檔案記憶體在technawi使用者的密碼哦，並且還有第四個flag。

不要忘了這裡還有應該.sudo_as_admin_successful檔案，後面會用到噢！?

5.第五個flag

拿到這個使用者名稱密碼之後我們應該幹嘛呢，還記得剛開始掃描埠發現了22埠開啟了SSH服務嘛，連線SSH去檢視最後一個flag.txt檔案，應該最後一個flag在那裡面了。

 ssh technawi@192.168.33.117

發現成功連線，直接去/var/www/html目錄下面去讀取flag.txt，成功獲取第五個flag！！！?

5.提權

不要忘了剛剛說到的.sudo_as_admin_successful檔案，說明technawi使用者能夠用自己的密碼登入root使用者

最後成功獲得5個flag！提權成功！！！★,°:.☆(￣▽￣)/$:.°★ 。

---