06 - EvilBox one
06 - EvilBox-one
0x01 下载地址
0x02 靶机目标
取得 root 权限 + 2 Flag
0x03 工具准备
0x04 详细步骤
主机发现
端口扫描
Web信息收集
浏览器访问http://10.0.0.7
浏览器访问http://10.0.0.7/robots.txt
网站目录扫描:
gobuster:go语言编写、目录扫描、DNS扫描
扫描结果发现了/secret目录
扫描新发现新的网站/secret目录:
发现了evil.php
经浏览器访问,依然没有相关信息
页面参数爆破
爆破方法:1.burp-intruder爆破;2.ffuf命令
自制变量参数字典:
使用ffuf爆破
ffuf爆破爆破失败
由于考虑到网站根目录已存在index.html,故可以考虑测试文件包含引用测试
经测试,确实存在一个command参数可用
浏览器访问http://10.0.0.7/secret/evil.php?command=../index.htm,确实存在文件包含功能
文件包含漏洞
浏览器访问http://10.0.0.7/secret/evil.php?command=../../../../../../../etc/passwd,显示出了/etc/passwd的内容,确实存在文件包含目录
远程文件包含
Kali本地http目录创建一个包含一句话木马的文件,使用靶机来包含触发
启动apache2服务
在靶机浏览器浏览包含shell.php的URL
经测试,命令无法执行,那么系统可能不存在远程文件包含漏洞
PHP文件封装器
封装方法:1、php:// 2、file:// 3、ftp:// 4、data:// 5、zip://
文件读取
任意文件读取:php://filter/convert.base64-encode/resource=xxx.php
浏览器访问http://10.0.0.7/secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php
使用Burp-Decoder解码后可用看到evil.php源码
文件写入
需要操作系统具有写入权限:
文件写入phpinfo():
浏览器访问
浏览器访问http://10.0.0.7/secret/test.php,写入失败
SSH私钥爆破
通过查看再次查看http://10.0.0.7/secret/evil.php?command=../../../../../../../etc/passwd文件,发现存在mowree用户拥有/bin/bash权限,故对mowree用户爆破
尝试SSH连接:
可用使用密码或公钥方式认证
通过文件包含查看mowree公钥文件:http://10.0.0.7/secret/evil.php?command=../../../../../home/mowree/.ssh/authorized_keys
通过文件包含查看mowree私钥文件:http://10.0.0.7/secret/evil.php?command=../../../../../home/mowree/.ssh/id_rsa
将mowree私钥文件保存到Kali
修改id_rsa文件的权限
尝试使用私钥登录
但需要输入加密私钥的密码
使用字典爆破,加密私钥的密码
准备密码字典
准备爆破工具
hashcat、john等工具
破解出加密id_rsa的加密密码为unicorn
再次尝试使用私钥登录
登录成功
获取mowree用户的Flag
Root提权
方法:1、crontab -l;2、sudo -l;3、uname -a;4、suid提权
查找suid权限的文件:
并没发现异常suid权限文件
查找sgid权限的文件:
并没发现异常sgid权限文件
查找具有写入权限的文件:
发现/etc/passwd文件具有写入权限
查看/etc/passwd权限信息
经分析,通过直接向/etc/passwd写入root密码从而实现提权
生成root用户的密码123456
生成密文为$1$EXNoEGT4$4iTazeg/Y412MxUmj5vhJ.
将密文写入/etc/passwd文件中,root用户的密码处
修改后:
切换root身份,输入修改后的root密码123456
root身份切换成功
获取root用户flag
最后更新于
这有帮助吗?