滲透測試實戰——unknowndevice64-1靶機+Moonraker靶機入侵

摘要： 前言 哈嘍大家好，愛寫靶機實戰的文章的我，又又來啦，最近靶機更新的有點多，小弟沒日沒夜的搞，庫存有點多，所以本文還是一樣，寫2個靶機的實戰入侵pwn。 靶機下載/安裝 unknowndevice64： https://pan.baidu.com/s/1QUJp1Cxuf...

前言

哈嘍大家好，愛寫靶機實戰的文章的我，又又來啦，最近靶機更新的有點多，小弟沒日沒夜的搞，庫存有點多，所以本文還是一樣，寫2個靶機的實戰入侵pwn。

靶機下載/安裝

unknowndevice64： https://pan.baidu.com/s/1QUJp1Cxuf1bTxQd4ZdTzCA

Moonraker： https://pan.baidu.com/s/1pczDMorsDAdn7JibGZuELA

實戰

unknowndevice64靶機

該靶機被定義為中級，但是是嗎？我們來看看….

靶機IP：172.16.24.72

老規矩nmap神器開路：

可以看到只開放2個埠，我們還是先檢視http服務的31337埠

訪問如圖：

介面做的挺酷的，不用懷疑習慣性 檢視原始碼，如圖：

發現 key_is_h1dd3n.jpg 圖片，如圖：

老套路了，CTF的隱寫技術，小弟上篇文章剛剛寫過，那麼我們來分離看看吧

可以看到，需要輸入密碼，那麼密碼是什麼呢？其實。。。 密碼就寫在檔名上啊 “h1dd3n”

下面我們加密碼，試一下吧

拿到一個 “h1dd3n.txt”檔案，我們檢視一下看看

看到這個密文，經常玩ctf的小夥伴就知道了，但是肯定也有小夥伴以為是摩斯電碼，其實它是brainfuck編碼，我們使用線上解密工具，試一下吧

成功解密，得到密碼為：

ud64 – 1M!#64 @ud

這個時候大家肯定興致勃勃的拿去ssh登陸。。。

沒錯，我也是這樣。心裡還在念叨，就他喵的這樣還能定為中級？

然後一登陸就悶逼了。。。如圖：

好吧。。。 碰到了 rbash ，然後小弟就一頓谷歌，找到了一篇比較全面的繞過方法，參考地址： https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/

放出來希望大家用得到。。。常見的幾種小弟也都試了，如圖：

這些記錄是小弟後面找的記錄，比較懶就不重置靶機了。。。

（注：上圖中的 echo /* 命令有些CTF題中會出現可以解題，小夥伴們以後可以試試！）

最後小弟根據剛剛文章的內容，進行了嘗試 使用 export 命令，該命令是預設rbash下可以使用的，小夥伴們可以在shell下 按鍵盤的tab 能彈出能執行的命令，如圖：

通過上圖可以看到該靶機執行使用vi編輯器，

那麼最後的繞過步驟為：

1. vi aaa.txt
2. 輸入 :!/bin/bash 得到shell
    當然這個shell也不是我們平時的shell，如圖：
    我們還需要再進行下一步繞過。。。
3. 使用命令
   

下面我們就可以輸入 sudo -l 了

發現了一個突破口，sysud64 不需要密碼，我們執行 help看看

可以使用-o 引數

下面的exp就是： sudo sysud64 -o /dev/null /bin/bash

如圖：

成功拿到root-shell，下面就是拿flag了

本靶機完！！！

Moonraker靶機

靶機IP：172.16.24.44

老規矩nmap神器開路：

我們還是先檢視80埠，用目錄猜解工具跑一下看看，

在首頁上經過一段動畫後，我們到了

http://172.16.24.44/moonraker.html

我們逐個點進去看一下，在 http://172.16.24.44/services/ 下發現一個比較有意思的東西 http://172.16.24.44/svc-inq/sales.html

看到對話方塊是不是小夥伴們要跑一波注入？我也一樣。。。 但是看內容說是讓我們提交諮詢留言會有銷售幫忙檢視，這不就是正常的xss套路嗎？那麼我們就在本地開啟http的服務來構造語句看看能不能成功，如圖：

1. 先開啟http服務，本次使用 nginx

   

   2.確認開啟後，我們就在網站上寫入語句了，提交

   

下面我們只需要開啟本機的nginx日誌靜靜等待就行。。。。

泡個茶的功夫，就已經有銷售經理點選查看了，（銷售經理say：又他喵是我背鍋。。。。）如圖：

得到新目錄 “svc-inq/salesmoon-gui.php”

繼續點選進入

可以看到其使用的是 “couchDB”, 下面我們繼續一個個檢視，在couchDB notes 找到了密碼

通過谷歌得到密碼為 ：Jaws – dollyx99

下一步我們去 啟用了couchdb 服務的 5984 埠登陸。。

如圖：

小夥伴要問了，你這個登陸路徑哪裡來的呢？為什麼我的沒有。。。 好吧 其實是谷歌的。。。。

登陸後

往下走

發現新突破口，我們去訪問看看

我們逐一檢視，發現Hugo 使用者是我們下一步的突破口

可以看到其是CEO，出現3000埠。。。 那麼我們繼續去3000埠登陸吧

登陸成功後，出現這個，如圖：

這他喵的是什麼鬼。。。 小弟在這裡被卡了一會兒。。 最後隔天出現探測ip的時候，發現其埠是nodejs 架構啊，不是記得有個RCE嗎？來谷歌一波

找到了這個

https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug- for-remote-code-execution/

然後小弟就跟著嘗試了，我們使用指令碼先生成一個反彈shell編碼，最後exp為 如圖：

下一步我們吧這個構造號的exp 繼續base64的編碼

（下載地址： https://pan.baidu.com/s/1CiRZjazWX52g_4raw9xHew）

最後我們把這個編碼後的exp複製出來，重新登陸3000埠，抓包，然後把exp複製在 profile= 後面，如圖：

我們成功拿到shell

下面我們在裡面翻翻看，有沒有什麼突破口，然後發現了這個

這個在上一篇文章中小弟已經說過了，我們看看有沒有什麼突破口，如圖：

哈哈哈，我們跟過去檢視一下

沒有讓我們失望，我們找到了 CEO的密碼 ： hugo – 321Blast0ff!!

下面我們使用ssh登陸一下提權吧。。。。。

我們繼續翻翻看

剛剛在‘jaws’使用者時我們看到了有個郵件服務，我們到系統預設的 /var/mail下看看

hugo目錄本許可權可讀，我們檢視一下

可以看到不少郵件往來，在下來沒幾封，直接發現了這個。。。

這個時候還猶豫什麼，直接爆破走起，如圖：

泡個養生茶的功夫，密碼已經出來了，然後小弟就急匆匆的去登陸。。。

如圖：

可是一直提示密碼不對，我當時真的都快懷疑人生了。。。。 然後喝了2杯養生茶，重新看了一下那個郵件，發現讓其在密碼後面加上 VR00M

最後的密碼為： cyberVR00M

然後就成功了。。。。

成功拿到root-shell和flag

本靶機完！！！

感謝觀看！！