声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!
实战打靶系列第 24 篇文章
kali的IP:192.168.56.102靶机IP:192.168.56.119
主机发现
使用nmap进行主机发现
发现192.168,56,119为新增加的IP,即为靶机IP。
端口扫描
主要进行存活端口探测,存活端口服务探测,服务版本,操作系统版本,以及nmap自带漏洞库脚本的探测。
可以看到,靶机开放了80端口和一个不常见的2082端口,其中2082端口开放了ssh服务。
web渗透
使用浏览器打开网站界面。
网页功能简单,其上的所有链接都是帮助定位到页面的某一位置的,没有可以利用的点,页面源码也不存在提示信息。网站不存在robots.txt文件。在网页源码的css路径下发现了assets路径,经过查看不存在可以利用的点。在网站首页上左上角发现一个域名,将域名解析到对应ip地址,再使用域名进行访问,结果并没有什么不同。
对网站进行目录爆破。
经查看,config.php和config.php.bak界面都是空白,但是config.php.bak页面的页面源码存在信息,看到是数据库账号和密码。
首先尝试使用账号密码进行ssh登陆,
可以看到这里并不支持密码验证,仅支持公钥验证,所以我们没有输入密码的机会。网站不存在其他有价值的路径。这里对网站的子域名进行爆破。
发现了一个子域名,添加到本地hosts文件中以后进行访问。
发现是一个phpmyadmin的登陆界面,可以使用之前获得的用户名和密码进行登陆。
首先再user表中找到了一个用户和密码
再后台中url路径中直接加入README查看phpmyadmin的README文件。发现phpmyadmin的版本为4.8.1。使用searchsploit进行搜索可以利用的漏洞。
发现两个文件包含和一个RCE漏洞。经尝试,RCE不可用。使用第二个。
这是一个txt文件,可以看到漏洞的利用逻辑,使用sql查询语句,查询的位置插入要执行的代码,然后获取session拼接到下面的url中。
根据脚本及网站情况对url进行修改,主要修改路径,session,(脚本中有一处错误,应该将sessions修改为session)。
效果如上。接下来要构造反弹shel语句,
再次利用漏洞,这里反弹shell不成功可以退出重新登陆进入phpmyadmin,是由于session过期导致的利用不成功。
成功获取反弹shell。
提权
首先不存在我们并不直到密码,无法查看sudo的配置。内核漏洞利用不了。查看/etc/passwd文件发现用户admin存在bash环境,想到在数据库中获得了admin用户的密码。尝试对他进行破解。
破解得到密码为Stella,成功进入admin用户。
提权使用Capabilities权限配置不当进行提权,首先查看Capabilities权限分配
配置不当出现在tarS命令,它可以无视文件权限的限制进行读取和搜索,查看你命令的具体功能。
发现就是tar命令的功能,这里我们尝试将/etc/shadow文件读取出来
这里成功获取了root用户哈希值,但是没破解出来。不得不换思路,想到ssh只支持公钥认证,这里尝试将root用户的私钥文件读取出来。
成功获取root权限。
Flag
参考资料:https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0
原文始发于微信公众号(0x00实验室):VulnHub靶机- President |红队打靶
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论