Vulnhub靶场渗透-theEther

前言

这次的靶机还是很好玩的,有点难度折腾了挺久,但方法对了那就很容易了

靶机ip(192.168.110.129)
攻击机ip(192.168.110.127)
网络NAT模式

不废话了直接开始

信息收集

打开网页简单看了看,没有过多的内容,是个基因的论文网站
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther
网站没有太多的功能,而且扫目录也没扫到什么有价值的东西
最开始以为网站上的这些单词可能会用到,就利用他们做了个字典去爆破 ssh,显然我的方法就是错的
Vulnhub靶场渗透-theEther

漏洞挖掘

注意到这个位置很有可能是利用存在读文件,简单尝试了几次Apache的日志文件都失败了
Vulnhub靶场渗透-theEther

重点来了

偷偷看了一眼攻略,哈哈哈,原来这个地方确实是存在读文件的
思路就是利用 ssh 写入一句话,然后读日志来执行一句话

首先就是去连接,然后一句话被写入日志
ssh '<?php system($_GET[360])?>'@192.168.110.129
bp测试一下,成功执行
简单说明下,我传的命令就是ls / 的url编码
同时也成功把我的连接写入日志,那么我们可以同样的拿个 shell出来,方便后面操作
不会弹shell 可以看我的这篇文章

-------------Linux弹shell--------------
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther

进一步提权

网站目录下发现一个可疑的py文件,是个日志审计的工具,但是没有权限打开Apache的日志
可以看见我们的ssh连接确实被写进了日志
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther
查看具有的 sudo权限,发现这个py文件原来不需要密码就能执行 root权限
Vulnhub靶场渗透-theEther
尝试一下确实可以,同时也发现了 root下的 flag
Vulnhub靶场渗透-theEther
接下来就是直接把 flag文件复制到网站根目录就可以了
/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.png
Vulnhub靶场渗透-theEther
浏览器访问,在最后一行发现flag
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther
base64 解码,有道翻译一下,哈哈哈,到这里也就结束了
Vulnhub靶场渗透-theEther
Vulnhub靶场渗透-theEther

总结

能学到新的姿势来拿 shell,还是很高兴的

网络安全就是这样,我们常规的攻击思路可能早就被网站管理员猜到了,所以他们就会有针对的进行监控和过滤
但往往一个网站的攻破都不仅仅是通过正常的思路去渗透的,骚姿势总能带来意想不到的惊喜

要学习的还有很多啊

上一篇:VulnHub日记(三): Hackable 3


下一篇:Vulnhub靶场渗透-mrRobot