noone___'s blog
0%

学长的任务罢了11-evilbox

发表于 更新于 分类于
经典的操作,没什么好说的

  • 扫描打点

    dirsearch 扫出来 robots.txtsecret

    robots.txt 中拿到用户名 H4x0r

    secret 是空的,dirsearch 扫不到,fuzz 一下

    1
    ffuf -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -t 100 -u http://192.168.56.113/secret/FUZZ.php

    得到一个 evil

    但还是空的,考虑传参进去

    1
    ffuf -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -t 100 -u http://192.168.56.113/secret/evil.php?FUZZ=/etc/passwd

    结果返回的都是 200 但基本都是空,用 -fs 0 筛一下

    拿到参数 command ,有文件包含,顺便看到用户为 rootmowree

  • getshell

    试着访问该用户的 .bash_history 但并没有

    php 命令执行也不行:

    那就只能回到 ssh 了,试着读私钥文件:

    首先要确定一下是否支持用私钥文件登录:

    1
    ssh mowree@192.168.56.113 -v

    看到支持公钥身份认证

    那就去偷私钥:/home/mowree/.ssh/id_rsa ,注意该文件权限应改成 600

    发现私钥文件被加密了:

    先用 ssh2john 提取 hash 值,再拿 john 爆破:

    1
    2
    ssh2john id_rsa > hash
    john hash --wordlist=/usr/share/wordlists/rockyou.txt

    爆出来密码 unicorn

  • linux 提权

    由于刚刚 /etc/passwd 没找到别的用户,那么就应该没有横向,直接提权了

    内核没有,sudo没有,SUID 没什么东西,ps aux 也没什么值得注意的东西

    然后我对着之前的linux提权一个个看,发现 /etc/passwd 可写:

    openssl passwd -1 生成密码的 md5 ,扔到 /etc/passwdroot 里面

    然后切换过去就行