Vulnhub-pinkys-palace-1

摸了很久。

0x01 信息收集

NMAP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
$ nmap -T5 -p- -sC -sV 192.168.56.7
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-25 15:26 CST
Nmap scan report for 192.168.56.7
Host is up (0.00030s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
8080/tcp open http nginx 1.10.3
|_http-server-header: nginx/1.10.3
|_http-title: 403 Forbidden
31337/tcp open http-proxy Squid http proxy 3.5.23
|_http-server-header: squid/3.5.23
|_http-title: ERROR: The requested URL could not be retrieved
64666/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
| ssh-hostkey:
| 2048 df:02:12:4f:4c:6d:50:27:6a:84:e9:0e:5b:65:bf:a0 (RSA)
| 256 0a:ad:aa:c7:16:f7:15:07:f0:a8:50:23:17:f3:1c:2e (ECDSA)
|_ 256 4a:2d:e5:d8:ee:69:61:55:bb:db:af:29:4e:54:52:2f (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 29.36 seconds

http端口直接访问的话是403,就算设置了靶机的代理直接访问也是403。

这里如果仔细观察

会发现有个By pinkys-palace,尝试将这个作为域名解析访问。

1
echo '192.168.56.7 pinkys-palace' >> /etc/hosts

此时再通过靶机http代理访问8080就不是403了。

扫描结果

0x02 漏洞利用

访问http://pinkys-palace:8080/littlesecrets-main/

有一个登录界面,但是手注注不出来,访问logs.php后,发现有user-agent列,

猜测应该是这里头部注入了,直接用sqlmap跑了。

解密得

无论如何都还是登录不进去- -。。不过还是有个ssh可以试试

登录成功!

去网站根目录搜索后,发现还有一个隐藏目录。看备注提示,这应该是个id_rsa的密钥文件。

顺利越权至pinky

又到了我最不拿手的逆向环节了:(

gdb 进入调试程序后,看下函数。

Spawning New Linux Processes in C

经过多番努力,终于在gdb中跳转到了spawn(其实就是菜拉)

现在关键是怎么在shell中跳转到这个函数了。

提权至root

d047555555内存地址是spawn函数的起始内存地址。