前言

这次的靶机是真的难,我的第一个中级靶机,基本上是一开始我就卡主了,哎我还是太菜了,里面的很多手法都是没有遇到过的,这次收获很大。奥利给



主机发现

image-20200606182237360

端口扫描

image-20200606182420009

功能点检测

打开网址说网站维护中,目录扫描也没有发现什么东西

image-20200606182518347

打开ftp,发现一个文件

image-20200606182742295

文件内容: 网站已经转移到新的域名了 ceng-company.vm

我到这里就卡主了去找wp了,没办法英语太差,看了wp才知道啥意思,后面都是看的wp做的

image-20200606182802759

尝试打开 ceng-company.vm ,修改host发现并没有什么变化

image-20200606183405992

爆破子域名,发现子域名 admin.ceng-company.vm

image-20200606183938302

目录扫描

image-20200606190830402

只修改host字段已经不行了,他会让你跳转到的域名,只能修改hosts文件了

image-20200606190911875

image-20200606191119401

gila目录,发现是gilacms

image-20200606191234168

打开进后台 http://admin.ceng-company.vm/gila/admin

Username: kevin@ceng-company.vm
Password: admin

kevin是之前note.txt文件里的人名

image-20200606192317099

image-20200606192412418

在文件管理可以上传文件

image-20200606192610366

上传 webshell

生成webshell

image-20200606192755925

上传

image-20200606193058453

开启监听

image-20200606193152339

访问webshell http://admin.ceng-company.vm/gila/assets/php-meterpreter-staged-reverse-tcp-443.php

image-20200606193400798

拿到webshell

image-20200606203033791

提权

1、 提权到swartz用户

**sudo -l 发现 runphp.sh 脚本可以swartz用户执行php **

image-20200607160307677

swartz用户执行php反弹shell,我们就获得了swartz权限

sudo -u swartz /home/swartz/runphp.sh

image-20200607172608962

**切换到swartz用户 **

image-20200607172818857

2、 提权到mitnick用户

发现 mitnick 用户的密钥和user.txt文件

image-20200607173342548

把mitnick的私钥拿出来,使用私钥登录,发现私钥是有密码的(在生成密钥的时候加密码了)

image-20200610213700482

我们把私钥使用ssh2john 脚本转换成john能识别的文本

image-20200607181443330

john破解哈希,得出密码 legend

image-20200607181554855

登录到mitnick(记得公钥文件的权限不能太高,不然ssh会基于安全规则而登录不了)

image-20200610212850238

拿到第一个flag

image-20200607182633264

3、提权到root

看wp写的是在 /etc/update-motd.d/ 目录发现可写文件,这个文件夹是ssh登录是有的提示信息,我们可以利用这个反弹shell,我猜测他大概是用的下面的命令去查询那些文件可写 find命令详解 => 链接

# 查找所有mitnick组权限的文件
find / -group developers 2>/dev/null |grep -v 'proc' |xargs ls -lathR

# 查找所有mitnick用户权限的文件
find / -user mitnick 2>/dev/null |grep -v 'proc' |xargs ls -lathR

# 查找所有用户可读写的
find / -perm a=rw 2>/dev/null |grep -v 'proc' |xargs ls -lathR
find / -perm a=rwx 2>/dev/null |grep -v 'proc' |xargs ls -lathR

# 查找带S位的
find / -perm -4000 2>/dev/null |grep -v 'proc' |xargs ls -lathR

image-20200607193258864

使用msfpc生成bash的反弹shell然后scp复制上去

image-20200607193650166

把sh写入/etc/update-motd.d/的目录下

image-20200607193757003

开启监听

image-20200607193948584

重新登录到靶机

image-20200607194407488

msf这面已经提示收到shell,并且是root权限

image-20200607194454111

拿到flag

image-20200607194540623



参考

https://security.caerdydd.wales/cengbox-2-ctf-walkthrough/





1+
最后修改日期:2020年7月5日

留言

作者

舒服了, 下一个靶机

0

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。