Vulnhub 靶机 CONTAINME: 1

Vulnhub 靶机 CONTAINME: 1

前期准备：

靶机地址：https://www.vulnhub.com/entry/containme-1,729/

kali地址：192.168.147.190

靶机ip：192.168.147.210

一、信息收集

1、nmap对靶机进行扫描



发现22、80、2222、8022等端口开放。

2、80端口



发现什么也没有，源代码也没发现什么，扫描目录。



发现访问index.php会列出当前目录下所有文件。



wfuzz测试看是否有命令注入。

二、漏洞利用

发现 .ssh 文件查看不了，那就尝试写入 shell，首先在本地制作一个 shell 脚本，然后开启 http 服务：



查看哪个目录可以查看上传的文件，发现tmp可以。



wget下载至tmp目录



查看tmp目录，确认上传成功。



bash 运行 shell.sh ，并开启监听：



成功反弹shell。

三、提权

查看可疑文件



发现在 /home/mike 下有个 1cryptupx 文件很可疑，运行查看一下：

查看一下二进制数据：



命令行中复制不方便，就看的这里，复制下来，十六进制编码恢复成 1cryptupx：



转码网址https://gchq.github.io/CyberChef/

根据文件名和 Exeinfope 发现是 upx 打包的



用的 win10 上的upx解压工具进行解压。



用IDA打开



在这个函数中，我们得到一个哈希字符串。这意味着如果我们输入正确的密码，该函数将以 root 身份调用“/bin/bash”。将哈希字符串保存下来，爆破一下：



得到密码为mike。加密码在执行一次，发现用户还是www-data



发现还是跳到了 www-data 用户，应该还有别的类似文件，查一下能执行的文件：



发现有个 crypt 文件。查看一下：



发现和之前发现的 1cryptupx 文件输出得一样，那加上之前发现的密码试一下：



获得了 root 账户，没找到 flag，一开始以为没有 flag，后来不经意间查了一下 ip 发现：



可能在容器中。

四、容器二-提权

nmap查看服务。



发现开放了 22 端口，但是我们不知道密码，那找找有没有密钥。发现有密钥，尝试使用mike用户名和 密钥登陆host2.



成功登陆后，查看host2开启的服务。



发现开启3306 mysql服务。

发现运行着数据库，尝试登录下数据库：



尝试一下发现进去了，mike:password



发现root信息，切换用户。



找找有没有 flag：



发现一个 mike.zip 压缩包，解压发现有密码，之前在数据库中我们发现了 mike 的密码，成功解压：