前言
这是打靶训练的第18周,靶机下载,难度中。信息搜集将是打靶过程中最重要的一个环节。
信息搜集
nmap扫描结果
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
10000/tcp open http MiniServ 1.910 (Webmin httpd) 80页面就是apache默认页面,没有什么。来到10000端口
改好hosts后,继续访问,是一个登录页面。
访问/robots.txt,解密后的明文为we scan php codes with rips
rips是一款php自动代码审计工具。以web端作为管理。http://192.168.2.180/rips/进入了rips管理页面
path /file:输入/var/www,点击scan,很快出了扫描结果
简单看了一下,基本没啥可利用的漏洞,在/regex/中输入pass。找到用户名为ripper,密码为Gamespeopleplay
无法登录刚刚找到的登录页,使用ssh登录成功
提权
版本为Ubuntu 18.04.5 LTS,这里提权可以使用CVE-2021-3493,本地编译好后复制到靶机。执行后提权成功
但此靶机是在这个exp公布前发布的,所以靶机的作者应该不是这样设计让我们去得到root的。
通过查找cubes用户创建的并且是ripper用户可读的文件,找到cubes用户的密码并成功切换。find / -user cubes -type f -exec ls -la {} \; 2>/dev/null
通过history,作者拷贝了一个miniser.log
cat /var/webmin/backup/miniser.log,得到用户名admin,密码tokiohotel
使用此账号成功登录进webadmin页面,进入终端。提权成功,获得flag