CH4INRULZ靶机笔记
环境搭建:https://download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova
信息收集
首先需要进行主机发现
思路: 通过arp-scan -l 进行扫描 ,找到目标主机的MAC地址为00:0c:29:ed:8a:e7
利用nmap进行初步探测,发现开放了21、22、80、8011端口
发现有两个Web端口,利用dirb进行扫描其目录
dirb http://IP (发现只扫描出几个目录)
dirb http://IP:8011/
漏洞利用
浏览器发现登录后台
继续进行收集,发现dirb存在index.html.bak文件
将其下载下来,发现存在frank用户及密码(利用john工具破解)
利用这个用户进行登录
发现存在上传点,上传反弹图片木马,进行getshell
将gif图片马进行上传
文件包含
成功上传后,才是重头戏,需要找到文件路径
转移目标到8081端口,发现存在一些php文件(包含)
发现可以访问files_api.php,看文件名可能为文件包含
尝试利用GET请求进行文件包含/etc/passwd (失败)
转变思路:尝试使用post请求进行文件包含,成功包含passwd文件
既然能进行任意文件读取,那么我们可以读取upload.php来获得文件上传路径,但是这里也不知道80端口文件路径。这里通过apache的配置文件/etc/apache2/sites-enabled/000-default来获得
思路一:猜测路径,看提示说是my uploads,因为用户为Franch,成功
找到上传路径http://IP/development/uploader/FRANKuploads/
思路二:
利用php://filter结合php伪协议读取uploader.php里面的内容包含
/var/www/development/uploader/upload.php
将其进行base64解码,找到上传路径FRANKuploads/
getshell
方法一:通过文件包含语句,包含已上传的gif木马,成功getshell
方法二:也可以利用到kali里面自带的php-reverse-shell.php文件。路径是/usr/share/webshells/php/php-reverse-shell.php
将IP地址修改成kali的地址和kali开启的监听端口,加上GIF89a图片头改成gif后缀上传
nc 进行监听端口1234
nc -lvvp 1234
同时文件包含访问我们刚刚上传的那个用来反弹shell的文件。
提权
uname -a 查看内核版本为Linux ubuntu 2.6.35-19-generic
搜索可利用的提权脚本
searchsploit linux 2.6.3
发现可以通过脏牛提权40839.c,内核提权15023.c,15285.c进行渗透
总结:这台靶机还是不错的,主要是以POST文件包含姿势getshell,后通过内核成功提权,做的过程中也存在失误点,经大佬博客的也学到了挺多点,还算不错,算是有所体会吧。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论