vulnhub靶场之【digitalworld.local系列】的FALL靶机

前言

靶机：digitalworld.local-fall，IP地址为192.168.10.10

攻击：kali，IP地址为192.168.10.6

kali采用VMware虚拟机，靶机选择使用VMware打开文件，都选择桥接网络

这里官方给的有两种方式，一是直接使用virtualbox加载，另一种是通过VMware直接加载，也给出了iso镜像文件。

文章中涉及的靶机，来源于vulnhub官网，想要下载，可自行访问官网下载，或者通过网盘下载https://pan.quark.cn/s/86cf8a398835

主机发现

使用arp-scan -l或netdiscover -r 192.168.10.1/24扫描

也可以使用nmap等工具进行

信息收集

使用nmap扫描端口

扫描tcp端口，并保存于nmap-tcp

nmap -sT 192.168.10.10 --min-rate=1000 -p- -oA nmap-tcp

扫描常见的20个udp端口，不过这里的端口大部分都是不确定的情况

nmap -sU 192.168.10.10 --top-ports 20 -T4 -oA nmap-udp

把前面扫描出的tcp、udp端口，进行处理，只取端口号

grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','
#这里就是包括可能开放的端口都不要，因为是靶机，可能过滤的话，也会无法进一步扫描
ports=22,80,8080,68,69,138,161,631,1434,1900

对特定的端口号进行深入探测

nmap -sV -O -sC -sT 192.168.10.10 -p $ports -oA detail

使用脚本检测有无漏洞，只有80端口的目录枚举以及443端口的目录枚举有用

nmap --script=vuln 192.168.10.10 -p $ports -oA vuln

SMB探测

使用nmap脚本进行测试，出现的版本以及分享有用

nmap --script=smb* 192.168.10.10

使用enum4linux枚举，分享是与nmap枚举出的一样，不过这里枚举出一个用户qiu

enum4linux 192.168.10.10 -a

网站信息探测

80端口网站测试

访问默认的界面，明显的看到网站的cms以及一个文章的创建者qiu

点击查看一些文章，发现另一个人名patrick

继续查看，发现一个backdoor的文章，可能存在后门

查看另一个文章，说的是webroot可能存在脚本，也就是网站根目录，那么尝试进行扫描

使用gobuster工具尝试进行目录爆破

gobuster dir -u http://192.168.10.10 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.bak,.txt,.sh,.html,.cgi -b 403-404

访问admin发现是一个登录界面

访问phpinfo.php，发现并没有解析，查看页面源代码后，可以看到代码

访问robots.txt，发现提示有user-agent这个很有可能会有不同

访问test.php，发现有弹窗，给出的提示是get参数问题。但是这个界面与error.html相似。不过还是猜测这是有参数的

使用ffuf测试参数，假设这里是有路径遍历的，所以测试

ffuf -u http://192.168.10.10/test.php?FUZZ=../../../../../../etc/passwd -w /usr/share/wordlists/dirb/big.txt -fs 80

发现有一个传参file，在浏览器访问，发现确实可以，并且能够路径遍历

暂时记住，这里有一个文件包含的接口

访问missing.html，发现一个用户名patrick@goodtech.inc

目前80端口就发现了一个文件包含，并且不能解析php，搜索CMS漏洞，但是不知道版本，无法具体使用

443端口的网站与80端口网站是一样的

9090端口网站探测

之前nmap扫描的9090端口服务是zeus-admin，百度搜索发现，这是一个后台管理系统，尝试访问查看

但是这个界面，与网上搜索的zeus-admin不一样，对这个进行目录爆破

dirb https://192.168.10.10:9090

发现了ping，访问测试后，发现一个server字段，为cockpit

并且在浏览器的网络功能中，进行分析的时候，也是有多个cockpit字段，猜测这是一个服务，直接搜索，发现确实如此，并且界面与当前界面极其相似

不过这里测试了一下，默认的账户密码不能登录，啧，利用之前的文件包含漏洞

文件包含漏洞利用

尝试把网站默认配置文件都通过文件包含漏洞去查看，不过并未有很多配置文件可以看到

结合信息，当前有一个用户名qiu，是文件包含/etc/passwd文件看到的。

22端口到现在没有运用，可能，对，文件包含看能否看到ssh私钥文件，也就是qiu用户的

/home/qiu/.ssh/id_rsa

这是默认的配置文件路径以及名称，确实有

访问authorized_keys和id_rsa.pub，也是可以的，说明有公私钥的形式

复制这里的私钥，放在kali中的一个文件中即可，这里命名为per，然后修改文件权限，再使用ssh连接测试

ssh qiu@192.168.10.10 -i per

提权

查看当前用户的目录下的.bash_history文件，也就是历史命令记录，发现一串字符，并且配合sudo的，这可能是密码remarkablyawesomE

使用find寻找具有SUID权限的文件，如果有sudo，搭配这个可能是密码的字符，就可能成功

确实有sudo，那么直接测试sudo -s，输入密码后，提权至root

查看文件

这里把qiu密码改了之后，再登录网站192.168.10.10:9090，登陆后并未有任何东西，说明这个确实不是攻击点

[root@FALL log]# passwd qiu
Changing password for user qiu.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.

总结

该靶机有以下几点：

1. smb枚举出用户qiu
2. 访问80端口网站，发现文章编辑者qiu，并且通过目录爆破，找到一个后门文件，具有文件包含漏洞
3. 3306端口虽然开放，但是不能直接连接
4. 通过文件包含漏洞，首先测试系统有哪些用户，然后通过访问linux中的一些文件，最终确定用户qiu下的ssh文件，发现私钥
5. 对于提权，这个靶机比之前的都简单，直接查看history命令历史记录，即可发现疑似密码的内容