【安全】VulnHub靶场 - Matrix-Breakout: 2 Morpheus

备注

2025/05/08 星期四
最近又打了vulnhub靶场，记录一下

一、故事背景

这是《黑客帝国：莫斐斯1》（Matrix-Breakout: Morpheus:1）系列靶场的第二部，它的主题回归第一部《黑客帝国》电影。你扮演的特尼狄（Trinity）试图调查尼布甲尼撒号（Nebuchadnezzar ）上的一台电脑，赛费尔（Cypher ）把其他人都锁在了电脑里，而这台电脑是解开谜团的关键。

二、Web渗透

1.主机发现

启动靶机，扫描C段，发现新增主机的ip地址为10.1.1.130

2.端口扫描

对靶机进行全端口扫描，发现开启了22，80，81三个端口

再对这三个端口进行攻击性扫描，没有获得有效信息

3.ssh爆破

常规尝试一下对ssh登录进行弱口令爆破，用户名就用故事背景的Trinity、Cypher和root，找个弱口令字典，意料之中的不成功

4.web程序81端口

访问81端口，发现需要登录，也就不存在爆破目录的可能了

抓个包发现账号密码没有在数据包中，可以认为这个网站是假的

5.web程序80端口

访问并查看源码，题目提示任何人都无法使用ssh登录，没有获到其他有效信息

有一张图片，下载之后发现有隐藏的数据，是一个商标信息，暂时无法利用

6.目录爆破

爆破目录发现只有robots.txt文件

访问robots文件提示还有继续寻找

这里暂时没有更好的攻击面了，只能选择使用更大的字典继续爆破目录，发现有两个文件

7.漏洞利用

访问graffiti.php发现是一个留言板

尝试一下XSS攻击，存在存储型XSS，但是这对我们获取webshell暂时没有太大帮助

再看一下txt文档，发现刚刚的js脚本被写到了这个文件中

尝试写个一句话木马，发现被放到了注释中

抓包发现post请求会指定文件为graffiti.txt，尝试修改为不存在的页面，并写入一句话木马

访问为空白页面说明创建成功

直接改个post包，尝试执行命令成功

8.反弹shell

开nc监听端口，然后执行反弹shell的命令即可，命令中有大量符号需要使用url编码

翻找一下目录文件就找到了第一个flag

9.图片隐写

并且提示我们有个隐藏文件，访问是一张图片

下载发现图片隐写了一个zlib文件，这里就不会做了

三、权限提升

1.信息收集

下载linpeas.sh到攻击机，使用python开启httpd服务

再开启一个nc监听并将结果使用tee进行保存

curl拉取python服务器中的linpeas脚本执行后将结果使用nc发送给刚刚开启监听的端口中

查看可能存在提权的攻击面，这里发现两个可能存在的CVE漏洞

2.威胁建模

对可能存在的攻击面进行优先级排序，这里我们重点看一下这两个可能存在的漏洞

3.漏洞利用

尝试利用一下CVE-2022-0847，获取exp源码，编译，将exp放到刚刚启动的python服务器中

代码审计一下exp源码，发现存在大量二进制字符，虽然作者说明了这些字符的目的，但是一般大量二进制字符还是可能有安全风险

但是在实验环境下我们还是选择执行一下这个exp，exp提示我们输入一个SUID程序

查找SUID文件，并且执行exp，发现没有成功提权到root，也没有生成提权程序，将其他SUID程序都尝试发现全都无法提权

这里我们换一个从网上找的脚本执行，发现程序提示成功但是没有输入提示符，执行命令发现已经成功提权到root

4.完成

进入root目录查看flag，进入home目录发现有两个用户，其中cypher目录中有我们本该通过图片隐写题得到的flag，trinity目录则是空的