vulnhub系列之MOMENTUM
vulnhub系列之MOMENTUM
环境搭建直接略过,vbox桥接没什么好说的
MOMENTUM: 1
信息收集
老一套没什么好说的,直接奔网页去就完了
网页端比较简陋
目录扫描扫出来一大堆东西,这目录下面有好的东西,访问一下先
貌似是apache的文档,大概没啥用,先看看其他的
点击主站的图片可以跳转到这,存在xss,貌似也没啥用
随便翻翻,在js文件里发现一些注释以后的代码,是个aes解密,先把密钥记下来
解密
到这我就卡住了,目前已有的线索似乎连不起来,等等,xss会不会是个提示,去cookie看看,有个这玩意
emmm,还是不知道有啥用,看wp发现原来是用之前拿到的密钥aes解密一下,得到这个,盲猜是ssh账号密码
然后,在我怀疑人生的时候,我终于试出了账号是auxerre,密码auxerre-alienum##的ssh用户
权限提升
老规矩试探一下suid提权,果然没戏
用新漏洞提权就太没意思了,先找找看有没有什么线索,然而文件里啥线索都没发现,倒是发现一个flag
看样子不是文件提权了,看看有啥服务可以利用吗,然后就发现了redis服务
之前听说过redis未授权漏洞,但没有用过
直接用redis-cli就进去了,果然有未授权,不管了,先看看有没有啥数据,然后…
结束了?
是的,结束了…
总结
非常简单的一个靶机,没啥好说的,趁热打铁把第二个也刷了吧
MOMENTUM: 2
信息收集
端口扫描没什么好说的
目录扫描,manual直接略过不看
主站长这样,这回图片不可以交互了,但是问题不大
js目录遍历有个main.js,疑似上传点
文件上传
我猜有个表单页面,但是我找不到,问题不大,自己构造一个就行了
经过不断尝试我发现只能上传txt文件
这里卡了至少半个小时,上传死活绕不过,没办法,看wp吧
原来是这个页面有个备份,那估计就是源码审计了
有个cookie验证和参数验证,cookie看注释好像还少一位,得爆破一下
上传成功了,爆破结果不太好过滤,手动看了一下是缺一位R
能上传了就直接nc反弹shell,上去后在用户目录下拿到了第一个flag
权限提升
另外一个用户目录下面也发现一些好东西,这个python脚本疑似可以提权
仔细分析发现这里应该有个命令拼接,输入的seed值最终会被传入命令行打印出来
这里要密码才能sudo,但估计有密码也不行,没权限
到这里思路彻底卡住了,没办法,看wp吧,中级难度的对我来说还是太勉强了
这里有个告诉了个账号密码,提权要登上这个账号才能进行,账号athena,密码myvulnerableapp*,不知道为什么的可以搜一下Asterisk这个单词的意思
上来以后用之前找到的那个脚本提权(这里为什么能提权没整明白。包括sudo为什么不用输入密码)
到此为止了
总结
难度算是中规中矩。主要还是要注意细节,像是文件上传页面的备份,用户目录下的提示什么的,还是不能根据经验来做题。这样子会陷入死胡同