前言
本次靶机学习的要点: 发现奇怪点、提权
靶机地址:https://www.vulnhub.com/entry/infosecwarrior-ctf-2020-01,446/
环境:VMware15(NAT模式)、Linux kali 5.2.0-kali2-amd64
工具:netdiscover、nmap、dirsearch.py、Burp Suite、ssh、https://gtfobins.github.io/(Unix提权姿势的一个列表)
信息收集
使用netdiscover扫描虚拟机的网段
netdiscover -r 192.168.136.0/24
扫描结果
根据扫描结果可以知道本次靶机ip为192.168.136.133
使用nmap扫描靶机信息
nmap -sV -A 192.168.136.133
扫描结果
根据扫描结果可以得知靶机开放了80端口和22端口
使用dirsearch.py扫描目录
python3 dirsearch.py -u 192.168.136.133 -e*
扫描结果
分析
访问192.168.136.133
192.168.136.133
发现只是一个Apache的安装完后的测试页面
试着访问192.168.136.133/sitemap.xml
192.168.136.133/sitemap.xml
发现 index.htnl这个特殊页面,而一般都是index.html,所以试着访问192.168.136.133/index.htnl。
192.168.136.133/index.htnl
按下F12进入开发者模式,可以看到
开发者模式
页面隐藏了一张图片和一张表单,修改hidden属性,让其显示出来并隐藏上面那张图片
页面
在开发者模式下看到action="/cmd.php",于是输入ls,并用Burp Suite截获,得到返回信息。
BP拦截的信息
因为原本是GET请求,所以用Burp Suite转成POST请求并发送
GET请求
POST请求
返回信息
查看cmd.php
cmd.php
发现了一个账户和密码
$user="isw0";
$pass="123456789blabla";
使用ssh连接,并查看权限
ssh连接
提权
考虑suid提权,于是输入
sudo -l
sudo列表
查询https://gtfobins.github.io
尝试使用rpm进行提权
sudo rpm --eval '%{lua:os.execute("/bin/sh")}'
rpm提权
发现提权成功,查询flag位置,并获取flag
flag
fc9c6eb6265921315e7c70aebd22af7e
总结
该靶机的关键点在于index.htnl页面的发现,和提权的操作。
https://gtfobins.github.io该网站收录了很多unix的攻击姿势,如果打不开网页的话,可以去github上下载源码查看相关信息。
网友评论