下载地址:http://www.vulnhub.com/entry/shenron-1,630/
虚拟化环境virtualbox
目标:获取两个flag
信息收集
nmap扫描
nmap -sC -sV 192.168.210.181
发现80http ,22ssh
网站信息收集
可以看到是一个apache的默认页
扫描一下后台目录
dirb http://192.168.210.181
发现joomla
发现test目录中有passwd
http://192.168.210.181/test/
查看password页面的源代码
得到用户 admin 3iqtzi4RhkWANcu@
p
a
pa
pa$
漏洞利用
getshell
登录一下后台 http://192.168.210.181/joomla/administrator/
选择一下插件
选择新文件,创建php页面 ,上传一个php反弹shell木马
访问页面
kali监听端口
python调bash
python3 -c "import pty;pty.spawn('/bin/bash')"
在/var/www/html/joomla路径下发现配置文件configuration.php
配置文件中发现
jenny Mypa$
w
o
r
d
i
wordi
wordinotharD@123
切换到jenny用户
sudo -l 查看sudo权限,发现可以用shenron身份执行cp
ssh免密登录
kali使用python创建http
python3 -m http.server 8888
jenny下载id_rsa.pub到tmp下,在cp到shenron中
免密登录成功
在家目录中拿到一个flag
098bf43cc909e1f89bb4c910bd31e1d4
提权
在var/opt下发现password
shenron : YoUkNowMyPaSsWoRdIsToStRoNgDeAr
查看shenron的sudo权限,发现能执行apt
使用apt提权
sudo /usr/bin/apt update -o APT::Update::Pre-Invoke::=/bin/sh
拿到最后的flag