MinUv2靶场详解

这个靶场我学到了.bash_history文件，每个用户都有一个名为 .bash_history 的文件，它位于用户的主目录中，默认有500行最近执行的命令。

这个靶场我用vmware是不能打开的，用virtualBox就可以，并且打开时候就能看到ip地址。

nmap扫了一下有一个确定的22端口是ssh，还有一个3306不确定是不是mysql数据库，实际测试是个http服务，把网页80端口改到了3306.

同时还扫描出来一个文件上传的目录。

打开主目录后我们发现是一个Kermal框架。

这个Upload只能上传.SAG的文件，搜索了一下这是一个矢量图文件，同时还搜索了一下Kemal是有XSS漏洞的。

在网上找了这么一段XSS文件读取代码，写入到.txt文件中，然后把后缀改成.SVG发现是可以上传的，并且里面的代码能被执行成功。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:///etc/passwd" >
]>
<svg height="100" width="1000"><text x="10" y="20">&file;</text>
</svg>

这个页面代码看不全，我们可以在浏览器右键查看源代码，也可以用bp来查看，为了后续操作我用的bp。

拦截包后发现是有我们xss代码的，并且读取了/etc/passwd文件。

同时我们还发现了这个系统是没有bash的，只有一个ash文件，每个用户都有一个历史命令执行的文件，在用户的家目录，一般名字都是.bash_history，但是这里没有bash，执行的是ash。

我们在发现的employee用户的目录下查看一下.ash_history文件，这里只能查看文件，查看目录是没有任何东西的。

这里我们发现一条useradd命令，并没有指定用户名，但是又一个-p指定的密码，我们可以利用这个密码尝试登陆employee用户。

发现ssh登陆上employee用户了，查找有权限的文件发现只有两个，查看了一下micro文件是一个编译器，具有root权限的编译器。

我们就可以利用这个权限修改/etc/passwd文件，为我们自己增加一个有root权限的用户。

这里面的密码不能位空，并且不能是明文密码，我们需要给这个密码加密一下，在我们本机上就可以，利用以下命令，用户名是tang，密码是123456.

openssl passwd -1 -salt tang 123456

利用cat /etc/passwd | micro命令就可以直接修改这个文件，我们在最后一行加一个用户然后回车一行。

我们在这个编译器中按F1是可以查看帮助的，这个编译器退出保存命令是ctrl+q，然后指定保存的目录就可以了。

然后我们su tang输入密码就是root权限了。