Vulnhub 靶机篇:EvilBox_One
本帖最后由 Happiness 于 2023-11-22 13:28 编辑0x01 靶机信息
[*]名称:EvilBox: One
[*]发布日期:2021 年 8 月 16 日
[*]作者:Mowree
[*]系列:EvilBox
[*]难度:简易
[*]简介:这对于 VirtualBox 而不是 VMware 效果更好。
[*]下载链接:httpChronos: 1s://download.vulnhub.com/evilbox/EvilBox—-One.ova
[*]MD5:C3A65197B891713731E6BB791D7AD259
[*]网络:DHCP自动分配
0x02 Write-Up2.1 主机扫描
目标机IP:192.168.181.135使用来自go编写的(https://github.com/xs25cn/scanPort)端口扫描工具,扫描到目标只开放了22和80端口
访问80端口为默认页面
查看robots.txt,内容为Hello H4x0r(H4x0r含义为hacker,采用了字母与数字的转换,参考Leet Speak表)对于我们没有什么帮助
2.2 dirmap目录扫描
配置dirmap扫描器,编辑dirmap.confconf.dict mode = 1,开启单字典模式
python dirmap.py -i http://192.168.181.153 -lcf-i 选择目标,-lcf 加载配置文件扫描使用的是默认字典,发现secret目录
访问正常,但是没有内容,继续扫描
conf.fuzz mode = 1开启fuzz模式,字典默认
扫描出evil.php文件
访问正常,猜测有文件包含漏洞,进行遍历
2.3 ffuf模糊扫描
ffuf -u http://192.168.181.153/secret/evil.php?w1=w2 -w data/fuzzmult/burp-parameter-names.txt:w1 -w data/fuzzmult/LFI-gracefulsecurity-linux.txt:w2 -fw 1-w 指定字典,-fw 过滤word字符使用seclists字典中的burp-parameter-names.txt和LFI-gracefulsecurity-linux.txt扫描出存在文件包含,参数为command
2.3.1 利用文件包含读取敏感数据
查看passwd文件,发现mowree用户
由于之前扫描出ssh端口,尝试读取用户mowree的ssh私钥
保存本地,配置私钥权限为600chmod 600 id.rsa
利用私钥登录,发现需要密码ssh mowree@192.168.181.153 -i id.rsa-i 选择私钥登录
2.4 john破解私钥密码
ssh2john id_rsa > id_rsa.hash将私钥转换为johnssh格式john --wordlist=/usr/share/wordlists/rockyou.txt id_rsa.hash--wordlist 指定字典,利用rockyou字典爆破
爆出密码unicorn
2.5 登录成功
获取user’s flag
2.6 系统信息收集
利用(https://github.com/carlospolop/PEASS-ng/releases)linpeas.sh脚本,收集信息通过nano的方式本地写入并运行,发现可写文件/etc/passwd
2.7 提权思路一 修改root密码
openssl passwd -1-1 表示选择MD5算法进行hash这里我使用密码123
替换/etc/passwd文件中root的x部分
提权成功,获取root’s flag
思路二 创建一个root权限用户
模仿root账户创建
提权成功
页:
[1]