Vulnhub-靶机-NULLBYTE: 1

家住魔仙堡 提交于 2020-12-12 10:01:59

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/nullbyte-1,126/

nmap结果如下:

 

根据扫描的结果发现开放了80 端口,直接访问80端口

 

然后看都不看习惯使用dirb命令爆破猜测下目标靶机的目录,命令 dirb http://192.168.56.103

 

发现扫描出来了很多关于phpmyadmin的目录,在这个地方我尝试使用phpmyadmin的渗透技巧去测试,但是都没有结果,包括的方法有,默认账号密码,密码爆破,默认路径,确认目标版本看是否存在Nday,等操作,但实际突破口并不是在这里,于是峰回路转还是再看回来看下刚开始访问的那个首页的默认图片,将目标图片下载下来使用strings命令查看

 

还是发现了一些敏感信息 kzMb5nVYJw

刚开始以为这是密码,后来尝试发现这是个目录路径,我们访问http://192.168.56.103/kzMb5nVYJw/ 

 

得到如上结果,发现是一个key,需要输入字符,这里是带星号的,这一看是没有任何防护措施,于是使用burpsuite抓包进行密码爆破,爆破的字典就使用kali中的rockyou.txt进行爆破,最终得到结果如下:

 

输入密码之后得到如下结果

 

这是个输入框,随便输入一个数字看看

 

看到这类的URL,第一感觉存在sql注入,直接丢到sqlmap中跑

 

还真有注入,具体详细注入过程我就不展示了,注入的过程命令给大家看看

 

得到最终的注入结果如下:

 

根据网上的提示和经验,这里猜测下是不是base64编码看看

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d

发现解码出来的真是一个加密的hash,将其重定向到一个文本上去

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d  > hash.txt

 

然后使用hashcat命令加载字典rockyou进行破解hash

hashcat -m 0 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

 

最终破解出来了结果是omega,那么我们就可以目标存在一个用户名为ramses密码为omega的用户,尝试使用ssh登录看看,因为使用nmap进行全端口扫描识别出来了目标ssh端口是777,那么我们直接连接这个端口

 

这里尝试了sudo没有看见特权用户,然后看看隐藏文件,发现有个执行命令的历史记录文件,直接cat看看

 

看到有个backup文件夹,过去看看

 

看见文件procwatch且是二进制文件,而且每个用户都有执行权限,执行一下看看

 

发现像是使用shell脚本的形式执行了ps命令,这里如果懂二进制的话,大可以直接去调试二进制文件看看,可以参考:https://www.nuharborsecurity.com/nullbyte-1-walkthrough/

知道上面的结果那么我们可以劫持ps命令提权了

可以使用下面方法提权

cd /var/www/backup
ln -s /bin/sh ps
export PATH=.:$PATH
./procwatch

也可以生成一个ps文件,然后里面写/bin/sh就可以,给这个文件所有权限然后执行二进制即可提权

最终得到目标靶机的proof.txt


 


本文分享自微信公众号 - 白帽安全技术复现(baimaofuxian)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!