vulnhub系列之MOMENTUM

vulnhub系列之MOMENTUM

环境搭建直接略过,vbox桥接没什么好说的

MOMENTUM: 1

信息收集

老一套没什么好说的,直接奔网页去就完了

image-20211207195546751

网页端比较简陋

image-20211207203511094

目录扫描扫出来一大堆东西,这目录下面有好的东西,访问一下先

image-20211207203610737

貌似是apache的文档,大概没啥用,先看看其他的

image-20211207203700212

点击主站的图片可以跳转到这,存在xss,貌似也没啥用

image-20211207203944741

随便翻翻,在js文件里发现一些注释以后的代码,是个aes解密,先把密钥记下来

image-20211207204102489

解密

到这我就卡住了,目前已有的线索似乎连不起来,等等,xss会不会是个提示,去cookie看看,有个这玩意

image-20211207204656533

emmm,还是不知道有啥用,看wp发现原来是用之前拿到的密钥aes解密一下,得到这个,盲猜是ssh账号密码

image-20211207205641848

然后,在我怀疑人生的时候,我终于试出了账号是auxerre,密码auxerre-alienum##的ssh用户

image-20211207205816817

权限提升

老规矩试探一下suid提权,果然没戏

image-20211207211929041

用新漏洞提权就太没意思了,先找找看有没有什么线索,然而文件里啥线索都没发现,倒是发现一个flag

image-20211207212106515

看样子不是文件提权了,看看有啥服务可以利用吗,然后就发现了redis服务

image-20211207212333515

之前听说过redis未授权漏洞,但没有用过

直接用redis-cli就进去了,果然有未授权,不管了,先看看有没有啥数据,然后…

image-20211207212558787

结束了?

image-20211207212929632

是的,结束了…

image-20211207213607930

总结

非常简单的一个靶机,没啥好说的,趁热打铁把第二个也刷了吧

MOMENTUM: 2

信息收集

端口扫描没什么好说的

image-20211208104830947

目录扫描,manual直接略过不看

image-20211208105005790

主站长这样,这回图片不可以交互了,但是问题不大

image-20211208121842875

js目录遍历有个main.js,疑似上传点

image-20211208122002877

文件上传

我猜有个表单页面,但是我找不到,问题不大,自己构造一个就行了

image-20211208122436155

经过不断尝试我发现只能上传txt文件

image-20211208122309695

这里卡了至少半个小时,上传死活绕不过,没办法,看wp吧

原来是这个页面有个备份,那估计就是源码审计了

image-20211208134055732

有个cookie验证和参数验证,cookie看注释好像还少一位,得爆破一下

image-20211208134144498

上传成功了,爆破结果不太好过滤,手动看了一下是缺一位R

image-20211208135411032

image-20211208140017316

image-20211208135858444

能上传了就直接nc反弹shell,上去后在用户目录下拿到了第一个flag

image-20211208140205734

权限提升

另外一个用户目录下面也发现一些好东西,这个python脚本疑似可以提权

image-20211208140746826

仔细分析发现这里应该有个命令拼接,输入的seed值最终会被传入命令行打印出来

image-20211208141109818

这里要密码才能sudo,但估计有密码也不行,没权限

image-20211208145717197

到这里思路彻底卡住了,没办法,看wp吧,中级难度的对我来说还是太勉强了

这里有个告诉了个账号密码,提权要登上这个账号才能进行,账号athena,密码myvulnerableapp*,不知道为什么的可以搜一下Asterisk这个单词的意思

image-20211208150457165

上来以后用之前找到的那个脚本提权(这里为什么能提权没整明白。包括sudo为什么不用输入密码)

image-20211208151146858

到此为止了

image-20211208151237882

总结

难度算是中规中矩。主要还是要注意细节,像是文件上传页面的备份,用户目录下的提示什么的,还是不能根据经验来做题。这样子会陷入死胡同


vulnhub系列之MOMENTUM
http://blog.233c.cn/posts/10012/
作者
木末君
发布于
2021年12月7日
许可协议