本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现;根据此靶机的官方描述使用VMware虚拟机加载靶机需要将网卡的MAC地址更改为08:00:27:A5:A6:76 方可获取IP地址,所以在VMware上给了IP网段为10.10.10.0/24 对应的IP地址是 10.10.10.130
地址:https://www.vulnhub.com/entry/fristileaks-13,133/
sudo nmap -n -p- -sC -sV -T5 -oN firstileaks.nmap 10.10.10.130
nmap扫描结果
上面的扫描结果探测出了robots协议里面有3个URI,访问发现页面的图片内容是一样的
使用dirb进行了目标爆破,结果跟上面探测出来的是一致的,没啥结果继续看,(这里花了些时间)想想此靶机是以fristi类似命名的,以fristi当做URI访问得到如下结果
查看网页源代码
知道上述此信息是用户eezeepz撰写,下面带有base64编码的图片,格式是png格式,再向下看发现注释存在一个base64编码的信息,猜测可能就是图片
将其在线转换为图片如下
综合上面的信息,把eezeepz当做用户名 keKkeKKeKKeKkEkkEk 当做密码登录目标页面,最终成功登录,发现登陆成功之后是个上传页面
经过测试,只需要将上传的php文件改成后缀允许的gif,jpg,png等格式即可绕过上传限制,成功上传,上传完成之后本地监听端口,访问上传的文件,成功反弹shell
进去之后翻看了家目录,只有用户eezeepz可以进入并查看相关信息
看到一个note文件,得到如下内容
大概意思是有个计划任务通过执行命令更改家目录admin的权限就可以进入该目录了
成功进入admin家目录,发现含有加密的代码和加密的密码,根据代码信息编写解码的代码进行解密
解密结果
使用得到的密码切换至用户admin
但是发现admin用户并没有sudo -l的提权权限,那么再试试另一个用户看看有没有,这种走捷径的方法要多试试
发现有sudo提权命令了,看下权限,然后执行一把