Moonraker: 1靶机练习实践报告

一、安装靶机

靶机是.ova文件，需要用VirtualBox打开，但我习惯于使用VMWare,因此修改靶机文件，使其适用于VMWare打开。

解压ova文件，得到.ovf文件和.vmdk文件。

直接用VMWare打开.ovf文件即可。

二、夺旗步骤

第一步：IP扫描，端口扫描

靶机IP为192.168.25.132，开放端口22(ssh),80(apache),3000(nodejs),5984(couchdb)和39847。首先爆破ssh,失败。

第二步：访问80端口、目录扫描和网站渗透测试

逐个访问上述的地址，http://192.168.25.132:80/services发现一个提示。

提示销售代表会查看输入的信息，可以伪造网站地址，欺骗用户点击，稍后分析。

有一个提示：某个地方有cookie和序列化。

然后，nikto扫描没有发现有价值信息。

第三步:整理收集到的结果，进一步分析。

启动服务器，在之前找到的http://192.168.25.132/svc-inq/sales.html地址处输入伪造的<img src=https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=%E2%80%9Dhttp%3A%2F%2F192.168.25.128%3A80%2Findex.html%E2%80%9D%2F&pos_id=img-lAQAYyo1-1716867485754)>,查看访问记录。

意外发现一个新的地址，打开地址，全站查找信息。发现一个提示用户口令的文件，在ssh和couchdb中尝试该口令，将全站出现的女性名字全部试了一遍，都不是，考点有一个提示“Google-fu.”，难道是google搜索？

获得用户口令“jaws:dollyx99”,在couchdb中成功登陆。进一步分析couchdb中的数据，发现4个新的地址，逐个访问。

发现一个/HR-Confidential/offer-letters.html页面中有四个用户口令,“hugo:TempleLasersL2K “,”jaws:dollyx99”,“holly:ArchivesPistolsL2K “,“guard:FacProxsL2K”。

用这四个口令分别登陆ssh，失败，登陆couchdb,没有权限访问的两个数据库还是无法访问。继续分析/svc-inq/salesmoon-gui.php,找到另一个提示文件，提到了端口3000，提到了cookie,我们找到过一个cookie和序列化的提示，难道存在序列化漏洞？分析代码，obj.username可能存在序列化漏洞。

访问3000端口，需要用户口令，用之前获得的4个口令逐个尝试，“hugo:TempleLasersL2K “成功登陆。根据提示访问/accounting/hugo-manif.mp3，什么也没发现。

上网搜索nodejs序列化漏洞相关信息，找到一个利用脚本，直接拿来主义。

将脚本进行base64是因为nodejs后台代码会对cookie进行base64解码，将cookie替换成shellcode,本地监听设置的端口1234.

获得一个shell。全目录遍历查看，发现/opt/couchdb/etc/local.ini文件中又发现两个口令。同样在ssh和couchdb中尝试，还在http://102.168.25.132:3000/尝试，发现“hugo:321Blastff!”可以通过ssh登陆，获取hugo权限的shell。

还是无法查看/root目录下的文件，继续搜索，在/var/mail/hugo下查看到一个信息。root用户的密码，条件反射的爆破。

得到root用户新口令”root:cyberVR00M”,登陆root用户，读取flag。

三、总结

\1. 灵活运用之前靶机练习中学到的搭建攻击者服务器的办法

\2. 常见漏洞的脚本要备齐，此处新收集nodejs序列化漏洞利用脚本