Vulnhub 靶机 CONTAINME: 1

Vulnhub 靶机 CONTAINME: 1

前期准备:

靶机地址:https://www.vulnhub.com/entry/containme-1,729/
kali地址:192.168.147.190
靶机ip:192.168.147.210

一、信息收集

1、nmap对靶机进行扫描
image
发现22、80、2222、8022等端口开放。
2、80端口
image
发现什么也没有,源代码也没发现什么,扫描目录。
image
发现访问index.php会列出当前目录下所有文件。
image
wfuzz测试看是否有命令注入。
image

二、漏洞利用

image

image
发现 .ssh 文件查看不了,那就尝试写入 shell,首先在本地制作一个 shell 脚本,然后开启 http 服务:
image
查看哪个目录可以查看上传的文件,发现tmp可以。
image
wget下载至tmp目录
image
查看tmp目录,确认上传成功。
image
bash 运行 shell.sh ,并开启监听:
image
成功反弹shell。
image

三、提权

查看可疑文件
image
发现在 /home/mike 下有个 1cryptupx 文件很可疑,运行查看一下:
image

查看一下二进制数据:
image
命令行中复制不方便,就看的这里,复制下来,十六进制编码恢复成 1cryptupx:
image
转码网址https://gchq.github.io/CyberChef/
根据文件名和 Exeinfope 发现是 upx 打包的
image
用的 win10 上的upx解压工具进行解压。
image
用IDA打开
image
在这个函数中,我们得到一个哈希字符串。这意味着如果我们输入正确的密码,该函数将以 root 身份调用“/bin/bash”。将哈希字符串保存下来,爆破一下:
image
得到密码为mike。加密码在执行一次,发现用户还是www-data
image
发现还是跳到了 www-data 用户,应该还有别的类似文件,查一下能执行的文件:
image
发现有个 crypt 文件。查看一下:
image
发现和之前发现的 1cryptupx 文件输出得一样,那加上之前发现的密码试一下:
image
获得了 root 账户,没找到 flag,一开始以为没有 flag,后来不经意间查了一下 ip 发现:
image
可能在容器中。

四、容器二-提权

image
nmap查看服务。
image
发现开放了 22 端口,但是我们不知道密码,那找找有没有密钥。发现有密钥,尝试使用mike用户名和 密钥登陆host2.
image
成功登陆后,查看host2开启的服务。
image
发现开启3306 mysql服务。
发现运行着数据库,尝试登录下数据库:
image
尝试一下发现进去了,mike:password
image
发现root信息,切换用户。
image
找找有没有 flag:
image
发现一个 mike.zip 压缩包,解压发现有密码,之前在数据库中我们发现了 mike 的密码,成功解压:
image

posted on 2022-07-19 15:56  水果味儿  阅读(188)  评论(0)    收藏  举报