MENU

DEVGURU靶机摸索

October 25, 2021 • Read: 189 • 靶机阅读设置

DEVGURU靶机摸索

靶机地址:https://www.vulnhub.com/entry/devguru-1,620/

信息收集

  1. 使用nmap扫描内网
  2. 扫描全端口,发现存在3个开放的端口
  3. nmap扫描出来Git泄露,使用工具下载Git文件
  4. 同时可以在nmap扫描结果中看到8585端口需要配置域名才可以访问,配置成功后进入网页,是一个Git服务,其中有一个用户frank
  5. 对80端口的网页爆破目录,发现后台地址

漏洞利用

  1. 查看刚才获得的源码,发现存在adminer页面,这个页面可以登录数据库
  2. 有了数据库登录网站,说不定在源码里能找到默认数据库登录密码
  3. ./config目录下发现database.php数据库文件,打开文件,发现默认密码
  4. 使用默认密码登录,成功
  5. octoberdb库中的backend_users表找到登录用户名和密码,但是看不出密码的加密算法
  6. 通过搜索引擎搜索上述密码的前几位$2y$10,找到https://www.cnblogs.com/DeeLMind/p/7450124.html网页,其中提到了一个算法
  7. 同时发现该octobercms使用LaravelPHP框架,而Laravel的加密算法使用的是Bcrypt 哈希算法,与上一条提示的密码算法一致
  8. https://bcrypt-generator.com中输入想要加密的内容,生成密文
  9. 将数据库中的密文更换成新密文
  10. 使用frank/123456登录后台,成功
  11. 发现存在写代码的地方,估计可以直接写代码反弹shell
  12. 在搜索引擎中发现https://www.cnblogs.com/lx0715/p/10193263.html网页,其中说到可以写PHP代码
  13. 写PHP代码成功
  14. 上传一句话木马
  15. 使用哥斯拉连接,失败
  16. 那先写个简单的小马试试
  17. 成功
  18. 通过小马下载刚才的哥斯拉马
  19. 检查一下,上传成功
  20. 但是还是没法使用
  21. 小马不行的话,那就写个大马进去,使用Github上别人开源的大马https://github.com/absafe/phpshell/blob/master/dama/shell.php
  22. 访问http://192.168.3.209/xdym123,成功
  23. 在大马中反弹shell

提权

  1. 先尝试一下sudo提权,不成
  2. 但是sudo版本是1.8.21p2,可以通过CVE-2021-3156提权,我记着这个CVE刚出的时候,我还复现过,但是平时工作中从来没遇到过,不知道这次能不能成功
  3. 使用https://github.com/blasty/CVE-2021-3156中的脚本,发现没有make命令,失败
  4. 但是发现https://github.com/worawit/CVE-2021-3156中的是python脚本,刚好该系统存在python环境,尝试,成功
  5. 切换到/root,查看文件
Last Modified: October 28, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code