708 字
4 分钟
vulnhub靶机-nyx(信息收集+gcc提权)
vulnhub靶机-nyx(信息收集+gcc提权)
声明
- 本文为个人跟随b站up主红队笔记学习vulnhub的nyx靶机的复现通关记录,旨在分享靶机和记录学习心得体会,讲解若有谬误之处欢迎指正。
- 该靶机下载地址为’https://vulnhub.com/entry/nyx-1,535/‘
渗透流程
- 在vmware部署靶机并开机后,打开kali对靶机进行信息收集,使用nmap执行
nmap -sn 192.168.245.0/24(请替换成你的网段)进行主机发现,发现图中的192.168.245.166为靶机。(192.168.245.136为我的kali虚拟机的地址)
- 并进行端口发现,执行
nmap --min-rate 10000 -p- 192.168.245.166,并对开放端口记录用于后续渗透,发现22、80端口,对端口进行详细扫描,执行nmap -sT -sV -sC -O -p22,80 192.168.245.163,得到端口详细服务内容和系统版本。
- 执行
nmap --script=vuln -p22,80,110,143 192.168.245.162用脚本扫一下漏洞,扫出了一个文件/d41d8cd98f00b204e9800998ecf8427e.php,一会看一下。
sudo gobuster dir -u http://192.168.245.166 -x .php,.txt,.zip,.sql --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt目录爆破,找到/key.php。
- 先访问80端口及其源码,提示不要过多注意原码和robots.txt这类,要注重于实际有价值的东西。
- 查看key.php及原码,没什么突破口。
- 查看刚才脚本扫描出来的php文件,发现一段私钥。
- 将私钥完整复制新建文件,尝试ssh连接,不知道用户,尝试root,失败,发现标题提示mpampis可能是用户名,连接显示私钥权限不当,改至400再次尝试成功连接。
提权过程
- 查看id,搜索特权文件,可写文件都尝试,在执行
sudo -l给出有gcc的特权。
- 在该网站中尝试搜索可执行文件gcc提权方法,
gcc -wrapper /bin/sh,-s x。
- 初次理解指令错误,正确理解后将x替换成任意有效文件(”.”代表当前目录,符合有效文件),获得root权限。
其它补充与收获总结
- 对于扫描结果,应该提高关注度,当时扫出这个私钥的php文件,感觉很有趣,为什么能扫出来这样看似杂乱文件名的文件呢?去查了一下资料
了解到此为空字符串的md5加密,实际上md5对空字符串也有一个处理(但null不可以,会出现异常),故经常要对md5加密输入值进行检查,确认加密过程的正确性,相关可参考文章’https://blog.csdn.net/lkp1603645756/article/details/138152679’,而常见的脚本扫描会对敏感文件进行扫描,该文件属于可疑文件名列表内,在发送请求探测时返回200,则证实有该文件。
- 对于可执行文件提权方面,可以经常查阅网站’https://gtfobins.org/‘进行积累,尝试多种提权思路。
vulnhub靶机-nyx(信息收集+gcc提权)
http://124.70.202.140/posts/post-16/16/ 部分信息可能已经过时