Vulnhub 靶机篇：EvilBox_One

Happiness

   0x01 靶机信息

• 名称：EvilBox: One
• 发布日期：2021 年 8 月 16 日
• 作者：Mowree
• 系列：EvilBox
• 难度：简易
• 简介：这对于 VirtualBox 而不是 VMware 效果更好。
• 下载链接：httpChronos: 1s://download.vulnhub.com/evilbox/EvilBox—-One.ova
• MD5：C3A65197B891713731E6BB791D7AD259
• 网络：DHCP自动分配
  
  
  

0x02 Write-Up2.1 主机扫描

目标机IP：192.168.181.135

使用来自go编写的（https://github.com/xs25cn/scanPort）端口扫描工具，扫描到目标只开放了22和80端口

访问80端口为默认页面

查看robots.txt，内容为Hello H4x0r（H4x0r含义为hacker，采用了字母与数字的转换，参考Leet Speak表）对于我们没有什么帮助

2.2 dirmap目录扫描

配置dirmap扫描器,编辑dirmap.conf

conf.dict mode = 1,开启单字典模式

python dirmap.py -i http://192.168.181.153 -lcf

-i 选择目标，-lcf 加载配置文件

扫描使用的是默认字典，发现secret目录

访问正常，但是没有内容，继续扫描

conf.fuzz mode = 1

开启fuzz模式，字典默认

扫描出evil.php文件

访问正常，猜测有文件包含漏洞，进行遍历

2.3 ffuf模糊扫描

ffuf -u http://192.168.181.153/secret/evil.php?w1=w2 -w data/fuzzmult/burp-parameter-names.txt:w1 -w data/fuzzmult/LFI-gracefulsecurity-linux.txt:w2 -fw 1

-w 指定字典，-fw 过滤word字符

使用seclists字典中的burp-parameter-names.txt和LFI-gracefulsecurity-linux.txt

扫描出存在文件包含，参数为command

2.3.1 利用文件包含读取敏感数据

查看passwd文件，发现mowree用户

由于之前扫描出ssh端口，尝试读取用户mowree的ssh私钥

保存本地，配置私钥权限为600

chmod 600 id.rsa

利用私钥登录，发现需要密码

ssh mowree@192.168.181.153 -i id.rsa

-i 选择私钥登录

2.4 john破解私钥密码

ssh2john id_rsa > id_rsa.hash

将私钥转换为johnssh格式

john --wordlist=/usr/share/wordlists/rockyou.txt id_rsa.hash

--wordlist 指定字典，利用rockyou字典爆破

爆出密码unicorn

2.5 登录成功

获取user’s flag

2.6 系统信息收集

利用(https://github.com/carlospolop/PEASS-ng/releases)linpeas.sh脚本，收集信息

通过nano的方式本地写入并运行，发现可写文件/etc/passwd

2.7 提权思路一 修改root密码

openssl passwd -1

-1 表示选择MD5算法进行hash

这里我使用密码123

替换/etc/passwd文件中root的x部分

提权成功，获取root’s flag

思路二 创建一个root权限用户

模仿root账户创建

提权成功