总结:私钥登录,隐藏文件很多
目录
下载地址
- Five86-1.zip (Size: 865 MB)
- Download (Mirror): https://download.vulnhub.com/five86/Five86-1.zip
使用:下载以后打开压缩包,使用vm直接打开ova文件
漏洞分析
信息收集
1.给靶机设置一个快照
2.fping -agq 192.168.31.0/24 使用fping快速扫描该网段中存活的机子
3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip
4.使用快照快速将靶机恢复
注:ip段要看自己的
这里看到开启了80端口这里去看一下。
真的是一片空白,这里22端口连接了以后也是没有发现什么提示,这里尝试访问一下10000端口。
这里就直接进去了,弱口令尝试没有用,这里看看他的框架,感觉这个像是java中比较常出现的一个。
使用wappalyzer并没有发现什么框架,这里看看源代码。
但是查看css的时候还是发现了,这里去搜索漏洞去,但是并没有找到什么,这里去扫一扫目录。
这里扫一扫80端口的目录
网站渗透
这里访问ona,看过robots.txt的内容也是提示ona,然后这里找到了关于,这里看看有他的版本号,这里去看看去。
刚打开我们的搜索引擎就是最大同性交流所,这里看看。
GitHub - amriunix/ona-rce: OpenNetAdmin 18.1.1 - Remote Code Execution
这里使用git clone直接复制过来,直接就进去了,当然是不止这一种方法的。
这里我们使用searchsploit也是一样可以直接利用的。
但是进过测试这两种都有一样局限性,就是你去不了别的目录。。。。虽然上面还有一个rb,但是使用起来其实是挺麻烦,正好去msf看看有没有可以利用的,这里查到一个尝试一下。
没想到直接就可以打进去了,而且是没有限制目录的。
爆破密码
在/var/www/html/reports,我们发现一个.htaccess,相信搞文件上传的兄弟一定是对这个不陌生,这里看看。
这里前去看看,得到了提示,就是让我们爆破那个一段密文。。。。
那么是这几个字符就是10位密码的字符集,这里可以自己写脚本或者使用工具。
设定字符集aefhrt,最短10最长10,输出到pass.txt
crunch 10 10 aefhrt -o pass.txt echo "\$apr1\$9fgG/hiM\$BtsL9qpNHUlylaLxk81qY1" > p.txt john --wordlist=pass.txt p.txtdouglas:fatherrrrr
提权
进去以后其他用户是目录是进不去的,但是这里经过sudo -l发现了一个好东西,但是他是指向jen用户的。
这里我们惊喜的发现是存在私钥和公钥,这就证明我们可以利用cp复制到jen用户中进行无密登录。
这里我是先去查看了ssh的配置文件,本意是查看私钥他定义的名字是什么。
但是。。。他这里压根就没有开免密登录,在这里卡了很久以后,去看看别人的wp。
这一刻的我十分的震惊,为什么???我想不明白。
但是后面去深入的了解以后=_=,还是因为#对我的影响有点固化,哎。
下面这样就可以了。
这样就可以直接无密直接登录进去了,然后在登录成功这里他是提示了我们有新的mial邮件,邮件通常都是在/var/mail,这里去看看。
是roy用户发给jen,告诉他moss的新密码是Fire!Fire!
进去以后来的用户的根目录,这里可以看到一个隐藏的文件夹,而且和正常的文件夹权限是不一样的,就很可疑,然后下面发现了一个归属root的文件,这看看他是什么。
这里查看这个文件,我们就可以通过一些细节,知道他是一个编译好的文件,是一个可执行文件,这里执行看看。
这里直接就可以进入root了
