vulnub-Five86-1

靶机地址: https://www.vulnhub.com/entry/five86-1,417/.

namp

使用nmap对进行探测,得到靶机的ip

nmap 192.168.88.0/24 -T4

再用nmap进行更详细的探测,发现以下三个端口以及对应的服务。

)
nmap 192.168.88.136 -T4 -A -sV -p-

22端口尝试着爆破,但无果。
访问靶机的80端口,一片空白。想起了nmap扫描到的robots.txt,对其访问发现存在一个目录

OpenNetAdmin

访问该目录跳转到OpenNetAdmin的管理页面,并且也爆出了版本号, 想了解的可自行百度。

Metasploit

接下来就在漏洞库查找也没有该版本的漏洞,发现刚好有一个对应版本的漏洞,并且在msf中也有可利用的exp。

searchsploit OpenNetAdmin

设置好参数之后执行

可以看到已经返回了shell

查看所返回的shell的权限,发现并不是很高。在查看该主机有多少个用户
发现了五个用户,分别是moss、roy、jen、richmond、douglas

进到/home目录,发现五个用户的/home目录都没权限进入

最后在/var/www目录下发现douglas用户的hash密码文件。用kali自带的字典对其hash进行爆破发现行不通,但在下方也对密码进行了提示:密码长度是10,且包含aefhrt,使用crunch生成口令字典,再利用john进行爆破。

crunch 10 10 aefhrt > five1.txt

结合之前得到的hash值,用john进行爆破

echo 'douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1' > test.txt

最后爆出密码为:fatherrrrr


使用帐号douglas登录靶机,发现douglas用户可以以jen的身份使用cp命令。这里可以使用linux主机免认证的方式将生成的key文件覆盖掉jen用户的key文件,达到登录jen用户的目的。

cd .ssh/
cp id_rsa.pub  /tmp/authorized_keys
cd /tmp/
sudo -u jen  cp authorized_keys /home/jen/.ssh
ssh jen@192.168.88.136


)登录成功发现有一个邮件,查看发现里面有moss的密码,并且登录也成功了。
))
登录成功之后在moss的家目录找到了一个只可行文件,并且有suid权限。看来这应该是拿root权限的组后一个方法。玩起这个游戏,最后拿到了root权限也拿到了最后的flag

find / -type f -perm -u=s 2>/dev/null

)记,第一次写博客。


  转载请注明: XingHe vulnub-Five86-1

  目录