vulnhub靶场之【digitalworld.local系列】的FALL靶机
前言
靶机:digitalworld.local-fall,IP地址为192.168.10.10
攻击:kali,IP地址为192.168.10.6
kali采用VMware虚拟机,靶机选择使用VMware打开文件,都选择桥接网络
这里官方给的有两种方式,一是直接使用virtualbox加载,另一种是通过VMware直接加载,也给出了iso镜像文件。
文章中涉及的靶机,来源于
vulnhub官网,想要下载,可自行访问官网下载,或者通过网盘下载https://pan.quark.cn/s/86cf8a398835
主机发现
使用arp-scan -l或netdiscover -r 192.168.10.1/24扫描
也可以使用nmap等工具进行
信息收集
使用nmap扫描端口
扫描tcp端口,并保存于nmap-tcp
nmap -sT 192.168.10.10 --min-rate=1000 -p- -oA nmap-tcp
扫描常见的20个udp端口,不过这里的端口大部分都是不确定的情况
nmap -sU 192.168.10.10 --top-ports 20 -T4 -oA nmap-udp
把前面扫描出的tcp、udp端口,进行处理,只取端口号
grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','
#这里就是包括可能开放的端口都不要,因为是靶机,可能过滤的话,也会无法进一步扫描
ports=22,80,8080,68,69,138,161,631,1434,1900
对特定的端口号进行深入探测
nmap -sV -O -sC -sT 192.168.10.10 -p $ports -oA detail
使用脚本检测有无漏洞,只有80端口的目录枚举以及443端口的目录枚举有用
nmap --script=vuln 192.168.10.10 -p $ports -oA vuln
SMB探测
使用nmap脚本进行测试,出现的版本以及分享有用
nmap --script=smb* 192.168.10.10
使用enum4linux枚举,分享是与nmap枚举出的一样,不过这里枚举出一个用户qiu
enum4linux 192.168.10.10 -a
网站信息探测
80端口网站测试
访问默认的界面,明显的看到网站的cms以及一个文章的创建者qiu
点击查看一些文章,发现另一个人名patrick
继续查看,发现一个backdoor的文章,可能存在后门
查看另一个文章,说的是webroot可能存在脚本,也就是网站根目录,那么尝试进行扫描
使用gobuster工具尝试进行目录爆破
gobuster dir -u http://192.168.10.10 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.bak,.txt,.sh,.html,.cgi -b 403-404
访问admin发现是一个登录界面
访问phpinfo.php,发现并没有解析,查看页面源代码后,可以看到代码
访问robots.txt,发现提示有user-agent这个很有可能会有不同
访问test.php,发现有弹窗,给出的提示是get参数问题。但是这个界面与error.html相似。不过还是猜测这是有参数的
使用ffuf测试参数,假设这里是有路径遍历的,所以测试
ffuf -u http://192.168.10.10/test.php?FUZZ=../../../../../../etc/passwd -w /usr/share/wordlists/dirb/big.txt -fs 80
发现有一个传参file,在浏览器访问,发现确实可以,并且能够路径遍历
暂时记住,这里有一个文件包含的接口
访问missing.html,发现一个用户名patrick@goodtech.inc
目前80端口就发现了一个文件包含,并且不能解析php,搜索CMS漏洞,但是不知道版本,无法具体使用
443端口的网站与80端口网站是一样的
9090端口网站探测
之前nmap扫描的9090端口服务是zeus-admin,百度搜索发现,这是一个后台管理系统,尝试访问查看
但是这个界面,与网上搜索的zeus-admin不一样,对这个进行目录爆破
dirb https://192.168.10.10:9090
发现了ping,访问测试后,发现一个server字段,为cockpit
并且在浏览器的网络功能中,进行分析的时候,也是有多个cockpit字段,猜测这是一个服务,直接搜索,发现确实如此,并且界面与当前界面极其相似
不过这里测试了一下,默认的账户密码不能登录,啧,利用之前的文件包含漏洞
文件包含漏洞利用
尝试把网站默认配置文件都通过文件包含漏洞去查看,不过并未有很多配置文件可以看到
结合信息,当前有一个用户名qiu,是文件包含/etc/passwd文件看到的。
22端口到现在没有运用,可能,对,文件包含看能否看到ssh私钥文件,也就是qiu用户的
/home/qiu/.ssh/id_rsa
这是默认的配置文件路径以及名称,确实有
访问authorized_keys和id_rsa.pub,也是可以的,说明有公私钥的形式
复制这里的私钥,放在kali中的一个文件中即可,这里命名为per,然后修改文件权限,再使用ssh连接测试
ssh qiu@192.168.10.10 -i per
提权
查看当前用户的目录下的.bash_history文件,也就是历史命令记录,发现一串字符,并且配合sudo的,这可能是密码remarkablyawesomE
使用find寻找具有SUID权限的文件,如果有sudo,搭配这个可能是密码的字符,就可能成功
确实有sudo,那么直接测试sudo -s,输入密码后,提权至root
查看文件
这里把qiu密码改了之后,再登录网站192.168.10.10:9090,登陆后并未有任何东西,说明这个确实不是攻击点
[root@FALL log]# passwd qiu
Changing password for user qiu.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
总结
该靶机有以下几点:
smb枚举出用户qiu- 访问80端口网站,发现文章编辑者
qiu,并且通过目录爆破,找到一个后门文件,具有文件包含漏洞 - 3306端口虽然开放,但是不能直接连接
- 通过文件包含漏洞,首先测试系统有哪些用户,然后通过访问
linux中的一些文件,最终确定用户qiu下的ssh文件,发现私钥 - 对于提权,这个靶机比之前的都简单,直接查看
history命令历史记录,即可发现疑似密码的内容