VulnHub靶场 EvilBox - One

前言

取得 root 权限 + 2 Flag

WP

主机发现

进行主机发现,发现目标 IP 为 192.168.10.83

对其进行端口扫描

发现其开放了 80 端口,访问目标 HTTP 服务。

是一个 Apache2 Debian Default Page。

GET 请求参数爆破

对其进行目录扫描。

访问这两个目录,其中 secret 目录没有内容,robots.txt 结果如下

得到一个似乎是用户名的字符串 H4x0r。我们假设它是目标系统用户名,对其 22 端口进行 SSH 爆破,失败。

由于这个 secret 是一个二级目录,我们接着这个二级目录再扫一下

得到一个 evil.php,访问无果,尝试爆破参数。

失败了。不过这个文件加参数的形式,很容易让人联想到文件包含漏洞,试试

得到一个参数 command,我们尝试访问 http://192.168.10.83/secret/evil.php?command=/etc/passwd,结果如下

SSH 密文爆破

这个位置可以进行文件包含,那这里思路就多了,读日志,读 ssh 密钥,读源码等等。我们先试试日志能不能拿到

失败。我们在读 /etc/passwd 的时候,发现目标主机存在一个 mowree 用户,尝试读一下它的 SSH 密钥

成功,我们尝试连接。

这个私钥需要密码文才能使用,我们使用 john 进行破解,主要要先用 ssh2john.py 将 SSH 密钥转换为 John 支持的格式

得到密文为 unicorn 重新连接

root 用户密码修改

得到第一个 flag

接下来就是提权了。查看计划任务

没东西,查看 sudo -l

用不了,尝试 suid 提权

没有能用的,查看一下写权限

这里发现 /etc/passwd 竟然有写权限,我们直接生成一个密码,将 root 用户的密码修改掉

然后直接登录 root 用户