VulnHub靶機-momentum |紅隊打靶

 聲明：該篇文章僅供學習網絡安全技術參考研究使用，請勿使用相關技術做違法操作。本公眾號的技術文章可以轉載,能被更多人認可本文的創作內容屬實榮幸之至,請在轉載時標明轉載來源即可.也歡迎對文章中出現的不足和錯誤進行批評指正！

實戰打靶系列第 16 篇文章 

目標是一個debian的操作系統 22端口開發的是SSH服務，80端口是apache

接下來從web開始查看，上面的圖片可以瀏覽，其中一張圖片雙擊之后會出現幾行字

然后每一張圖片點擊之后都會出現id字段，其余字段未知

這里注意到url的變化，這里也就發現了一個php的地址url。然后進行sql注入。id=’and 1=1 這樣的邏輯表達式

每次這樣進行注入的表達式都會完全顯現在屏幕上面，但是只是輸入的字符串完全顯現在頁面上。

這樣看起來頁面上可能存在反射型頁面跨站腳本漏洞。

但是這個跨站腳本漏洞實現不了什么邊界突破。

這樣就會彈出訪問整個站點cookie的賦值，這也只是自己的個人cookie。這個cookie看起來像是被編碼之后的內容，看起來像是base64編碼的內容。

里面salted表示加鹽，似乎是使用了某段加密算法加密的信息，回到web頁面。查看web頁面源碼，查看之后沒有什么有幫助的信息，有一些注釋信息說有lightbox容器隱藏在CSS里面。

懷疑這是靶機作者留下的信息。

發現這個css文件就是用來瀏覽顯示那幾個功能的。

依然這里信息收集太少，進行dirsearch。

這個文件就是實現剛才：無論輸入什么都會返現字符串到頁面的原因。

下面那幾行注釋：

定義一個變量，crypto-js看起來像是一個庫，感覺像是加解密。

然后調用那個js的一個庫進行解密encrypted（被加密的東西）

secretpassphrasemoment應該是安全密鑰

所以這第二行的信息，猜測是以SecretPassphrase為密鑰，然后通過調用crypt-js庫，代碼就能解出來了。

然后第三行顯示：把解密出來的東西使用utf8還原成對應的字符串。

這里之前沒有遇到到js的這個庫，進行搜索。

上面那段AES加密算法的意思就是：

跟web界面上的那段JS源碼意思一樣。但是現在源碼的解密的密鑰已經知道了

解密算法也知道了。

如果自己電腦上沒有JS平臺，可以使用在線的。

解出來的明文就是：auxerre-alienum##

這一段可能是賬號和密碼。之前已經開了22端口

進來的賬號是auxerre，密碼是一整串。

然后搜索可以實現的漏洞利用代碼。

然經過試驗，發現這四個腳本都不能進行提權。

現在利用內核漏洞不成功。

然后再找跟權限有關的提權，結果發現本地都沒有sudo的命令。

然后在查看賬號的時候發現了redis用戶，說明靶機存在redis。

如果redis可以有漏洞就可以進行提權。

redis之前的版本其實一直存在非授權漏洞，默認毫無安全可言。

只要能連接上6379端口，就能進行漏洞利用。

現在進行確認這臺靶機開放的端口

現在默認6379開放在127.0.0.1

不允許其他主機通過網絡連接，說明外網連接不了。

連接之前，查看系統進程啟動賬號。現在使用redis客戶端查看目標信息info，且測試是否需要身份認證。

redis以鍵值對存放數據，鍵值對存在信息：m0mentum-al1enum##

這臺靶機看似被拿下了，看似是太容易了。然后查看flag都拿到了，加上IP就是本機，證明確實拿下了。