Vulnhub-pWnOS1.0

0x00 Introduction

比昨天的靶机难点，但本质上其实就是利用工具。

0x01 端口扫描

80 端口和 10000 端口都是 http 服务，先从这两个开始入手 。

0x02 Web渗透

这个页面没发现什么有用信息，就是把输入的内容放到一句话里回显出来而已。

访问 10000端口：

是一个 Webmin 的登录界面。Webmin 是一个基于 Web 的系统管理工具，主要用于 Linux/Unix 系统的服务器管理和配置。此处弱密码和 sql 注入都尝试失败。

那再试试 smb 能不能找到有用信息：

很遗憾没有。再回头探索 80 端口，扫描目录：

/index1 就是刚才访问过的页面，但是此时因为没有指定参数报了个错：

这说明有可能存在文件包含漏洞，两个参数都试一下，果然 connect 参数可以：

但是读取 /etc/shadow 就没有权限了。从 /etc/passwd 只能知道几个用户名，没什么用。

0x03 MSF利用

回到 10000 端口，提示我们 Webmin 了，那就用 MSF 搜一下有没有可以利用的漏洞：

这里投机取巧一下，因为我知道靶机是 2011 年的，所以就用这个 2016 年的漏洞模块，它可以实现文件读取，那么能不能读到 /etc/shadow?

发现是可以的。把五条有 hash 的用户数据保存下来：

利用 john 破解 hash :

0x04 ssh登录及提权

ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@192.168.86.129

登录成功后，没有找到敏感信息，从本机下载 linpeas 到 /tmp 执行，也没发现可以利用的点。以下是看了 wp 之后学到的新思路：既然上面的文件泄露漏洞可以读到 /etc/shadow，就说明他是以 root 权限执行的，那么只需要上传一个包含反弹 shell 命令的文件，让他读取，就可以获取 root 权限的 shell。

webmin 是 perl 搭建的，复制 kali 中自带的 perl 类型的反弹 shell，将其重命名为 shell.cgi:

cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgi

下载并赋予其执行权限，MSF 中设置文件路径：

反弹 shell 执行成功：

但是我其实有个疑惑，这个 exp 只是能够进行文件读取，为什么可以执行文件呢？而且就算可以解析文件，不应该是 .pl 文件吗，为什么是 .cgi 文件？

先来看一下什么是 .cgi 文件：

以下是搜索到的答案：

0x05 Conclusion

越来越懒了，wp 不爱写那么多字了哈哈。