【Vulnhub】The Ether

靶机说明

下载链接

http://www.mediafire.com/file/502nbnbkarsoisb/theEther.zip

运行环境

• 本靶机提供了VMware的镜像，从Vulnhub下载之后解压，运行vmx文件即可
• 靶机：本靶机默认使用了自动获取的上网模式。运行靶机之后，将会桥接到物理网卡，接入网络。
• 攻击机：Kali虚拟机运行于vmware，同样使用桥接模式，即可访问靶机。

靶机概况

本靶机有一定难度，不适合初学者。

本靶机的渗透目标为渗透进靶机并且找到系统中隐藏的Flag值。

官方提供了一个提示：靶机中有一个相关的文件，在渗透过程中发挥重要作用，但是不要浪费时间试图去解密这个混淆后的文件

 

信息收集

主机发现

目标靶机的ip地址为192.168.43.17

端口扫描

分析nmap扫描结果可知，目标主机开放了22端口和80端口，22端口是ssh服务，80端口是http服务，web容器是Apache/2.4.18，操作系统是ubuntu

目录扫描

使用dirb默认字典对目标主机80端口进行目录扫描

 

漏洞挖掘

先对ssh服务的用户名密码进行简单爆破一下试试有没有使用弱口令

访问http://192.168.43.17，浏览一下网站的功能。

在about页面，发现一个邮箱，之后有登录界面的时候可能有用，网址是典型的文件包含漏洞的特征

测试一下是否存在文件包含漏洞

使用burp抓包，发送到repeater，包含/etc/passwd发现并没有回显

尝试通过php伪协议读取php文件源码，也没有正确回显。

将数据报发送到intruder模块，使用自己积累的的本地文件包含模式测试字典跑一下

从扫描结果可以看出，有几个文件是有回显的。特别是/var/log/auth.log文件，点进去发现了这期我们用hydra进行ssh爆破的日志

既然只有的时候，我们就可以通过将我们的恶意代码以ssh用户名的方式写入到/var/log/auth.log日志中，然后通过文件包含漏洞触发，达到我们想要的目的。

下面我们将 <?php system($_GET[cmd]);?>写入日志：

然后触发

可以看到，命令成功执行，下面我们反弹shell

首先在kali开启监听6666端口

然后执行bash反弹shell命令

需要进行url编码

发送请求包之后，本地并没有接受到shell，反弹失败了。

再使用python脚本反弹试试

可以成功反弹shell

自此，我们成功拿到了普通用户的权限。

 

权限提升

sudo -l参看以下权限

提示可以使用sudo权限不需要密码执行xxxlogauditorxxx.py，那我们就运行一下这个脚本看看

 

进一步测试发现，可以通过这个脚本执行命令

并且还是以root身份执行的。

于是我们就可以通过python脚本和/var/log/auth.log |命令进行配合获得root权限

在/root目录下找到了flag.png文件

我们用scp命令将其复制到kali，发现没办法输入kali密码，所以失败了。

换一种方法： 把他复制到公共目录，然后使用wget下载下来

打开发现是这么一个图片

cat一下，发现有一段用base64编码的flag字符串

解码一下即可得到最终flag