学长的任务罢了11-evilbox

• 扫描打点

  

  dirsearch 扫出来 robots.txt 和 secret

  robots.txt 中拿到用户名 H4x0r

  secret 是空的，dirsearch 扫不到，fuzz 一下

  ffuf -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -t 100 -u http://192.168.56.113/secret/FUZZ.php

  得到一个 evil

  

  但还是空的，考虑传参进去

  ffuf -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -t 100 -u http://192.168.56.113/secret/evil.php?FUZZ=/etc/passwd

  结果返回的都是 200 但基本都是空，用 -fs 0 筛一下

  拿到参数 command ，有文件包含，顺便看到用户为 root 和 mowree

  

• getshell

  试着访问该用户的 .bash_history 但并没有

  php 命令执行也不行：

  

  那就只能回到 ssh 了，试着读私钥文件：

  首先要确定一下是否支持用私钥文件登录：

  ssh mowree@192.168.56.113 -v

  看到支持公钥身份认证

  

  那就去偷私钥：/home/mowree/.ssh/id_rsa ，注意该文件权限应改成 600

  发现私钥文件被加密了：

  

  先用 ssh2john 提取 hash 值，再拿 john 爆破：

  ssh2john id_rsa > hash
  john hash --wordlist=/usr/share/wordlists/rockyou.txt

  

  爆出来密码 unicorn

• linux 提权

  由于刚刚 /etc/passwd` 没找到别的用户，那么就应该没有横向，直接提权了

  

  

  内核没有，sudo没有，SUID 没什么东西，ps aux 也没什么值得注意的东西

  然后我对着之前的linux提权一个个看，发现 /etc/passwd 可写：

  

  用 openssl passwd -1 生成密码的 md5 ，扔到 /etc/passwd 的 root 里面

  

  然后切换过去就行