【VulnHub系列】BrokenGallery

因为是从PDF转换过来偶尔可能会出现内容缺少，可以看原版PDF：有道云笔记

实验信息

Broken：192.168.10.111

Kali：192.168.10.106

实验过程

sudo arp-scan --interface eth0 192.168.10.1/24

然后对靶机进行端口探测 

nmap -sT -p- --min-rate 1000 192.168.10.111 -oA ./Broken_result

 

再对端口进行详细扫描和漏洞扫描

cat Broken_result.nmap | grep "open" | awk -F '/' '{print $1}' | paste -sd ',' 
sudo nmap -sT -sC -sV -p 22,80 192.168.10.111 -oA ./detail

详细扫描发现80端口有几个文件

 后台挂着gobuster来跑目录

sudo gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 20 -u http://192.168.10.111/ -x txt,rar,zip,tar,sql,php

打开80端口，发现文件都wget保存到本地,查看网页源码以及文件来收集信息

xdg-open img_forest.jpg

查看REAMD.md的文件类型，是txt类型

用cat发现都是十六进制的字节码

-r选项用于将十六进制格式转换回二进制格式
-p表示输出纯粹的十六进制编码，而不包括其他信息
-s选项用于跳过文件的前N个字节

 

 通过strings来读二进制文件，通过head来读取前几行内容来确定文件类型

-r选项用于将十六进制格式转换回二进制格式
-p表示输出纯粹的十六进制编码，而不包括其他信息
-s选项用于跳过文件的前N个字节
xxd -r -ps README.md > README.bin

strings README.bin | head -n 10

可以看到JFIF头，说明这个文件是图片文件，更改为Jpg后缀并打开

 是一段文字信息

再用exiftool来看看其他图片，没有发现有隐藏的信息

同时目录爆破也并没有什么有用信息

所以只能把注意力放到22端口上 

我们根据从图片获取的信息制作一个简易的字典文件尝试爆破SSH

 通过crackmapexec进行SSH爆破

#--continue-on-success:表示成功获得凭据后继续爆破
#跟john相比，john更偏向快速，creackmapexec支持的协议和功能比较多

sudo crackmapexec ssh 192.168.10.111 -u creds -p creds --continue-on-success

获得账号密码

broken:broken

 

登陆broken，发现其可以通过timedatectl来提权 

 通过gtfobins：https://gtfobins.github.io/ 来查看对应的提权方法

 

 

成功获得root权限