ContainMe:1
博客地址:https://www.cnblogs.com/upfine/p/16942828.html
项目地址:https://download.vulnhub.com/containme/THM-ContainMe-v4.ova(环境有问题)
是一个打包好的镜像文件
注意:导入 ova 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本

RCE
path
目录扫描

访问 index.php 返回一个目录信息,在其源代码信息中出现隐藏信息:where is the path ?
猜测这里应该是存在参数并且可能执行了 ls -al 之类的系统命令

使用 ffuf 进行参数爆破
1 | ffuf -u 'http://172.20.10.3/index.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt -fs 329 |
最后的 -fs 是为了过滤下无用的返回信息,需要根据具体情况进行调整,这里使用 -fs 329 就可以

使用获得 path 参数输入命令进行测试,发现确实存在命令执行漏洞

测试时无法直接反弹 Shell,通过 echo 写入脚本文件也是无法写入成功的
后来使用命令 ls -al / 查看了下目录权限,发现只有 /tmp 目录才具有写入权限,但是使用 echo 往 /tmp 写入仍是失败

后来只能在本地写好脚本然后开启 HTTP 服务,通过命令执行漏洞下载该脚本

写入脚本文件后在 Kali 端开启对 6688 端口的监听,然后利用命令执行漏洞使用 bash 进行执行 shell.sh 文件

提权
SUID 提权
在 /home/mike 目录下发现了一个可疑文件,执行该文件结果如下

使用 IDA 打开 1cryptupx 文件,查看下其代码信息并对代码信息进行分析,发现是当我们输入的密码与 hash 值比对正确时时会执行 /bin/bash
那就将 hash 值复制下来进行爆破,成功得到密码 mike

加上密码 mike 执行 1cryptupx 文件,但是返回的仍是www-data 权限

那我们查看当前用户下具有 root 权限的可执行文件都有哪些
发现了 /usr/share/man/zh_TW/crypt

使用密码 mike 进行执行,成功获得 root 权限

敏感信息泄露
这一步在下面横向之后
查看下当前开启的服务,发现了 MySQL 服务

这里尝试了下常用的弱密码,最后 password 成功连接数据库
然后在 account 数据库中发现了 root 和 mike 用户的密码信息

切换成 root 账户

横向
SSH
扫描主机另一张网卡的网段发现存活主机

继续扫描发现开放了 22 端口

虽然开放了 SSH 服务,但是我们缺少登录密码进行登录,但是在 mike 账户下发现了密匙信息
因此尝试下使用 mike 账户的密匙信息进行登录成功
