目录
2、打开burp suite找到一条ping命令的post请求将内容传送到Repeater选项卡
3、将生成的python内容输入到ip地址后面需要加个|或者;
0x01 环境搭建
1. 靶机下载地址:https://download.vulnhub.com/acid/Acid.rar
下载完成之后使用虚拟机打开,我连接的是我的net2网卡大家可以根据自己的实际情况来配置。
2. kali作为攻击端,靶机连接的哪个网卡就给kali连接哪个网卡,我连的是net2网卡。
0x02 信息收集
1、主机发现
使用kali扫描net2网卡
arp-scan -I eth2 192.168.42.0/24
扫描到目标地址为192.168.42.133
2、端口扫描
发现目标主机似乎只开放了33447端口
-Pn 跳过主机发现 -A 综合扫描(OS、服务版本、端口等) -p- 全部端口(65535)
3、站点探测
使用浏览器访问33447端口,是一个图片界面。大概意思为欢迎来到Acid的世界。
仙女尾巴用秘密钥匙打开魔法之门。
但是仔细看看上方的标题像不像一个目录
访问之后发现是个登录页面好像没有什么用
现在线索似乎好像断掉了,我们回到刚才的图片页面查看源码看看有什么收获吗
果然在最下方发现了一串似乎被加密的16进制编码
tips:0x后面的数字表示的是16进制
经过解码之后发现一串经过base64编码的字符
再次经过base64解码之后发现一个jpg的图片
访问之后发现无法访问猜测可能在某个目录下目录扫描一下试试
使用dirbuster进行目录扫描
如上设置完之后点击右下角的start即可
扫描出来了挺多目录
逐一访问cake.php似乎没什么用
逐个尝试后发现include.php下存在一个文件包含漏洞
需要经过编码之后查看源码就能看到
由于没有上传点,继续查看了一下cake.php发现标题不对,像是一个目录
对cake.php进行目录扫描
扫描出来了这些但是最吸引我注意的是command.php,很奇怪诶,命令???进去查看一下
ping??命令执行?试试127.0.0.1;whoami。查看页面源码查看执行结果
确实存在命令执行,接下来就是通过命令执行,尝试拿到shell
0x03 漏洞利用
1、使用meterpreter拿到会话
2、打开burp suite找到一条ping命令的post请求将内容传送到Repeater选项卡
3、将生成的python内容输入到ip地址后面需要加个|或者;
然后ctrl+u编码一下然后发送(send)kali就能拿到会话
4、拿到会话
使用sessions -i 1 拿到会话
拿到shell之后使用python获得交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
0x04 提权,权限提升
接下来查看一下basswd文件,看一下哪些用户使用/bin/sh
cat /etc/passwd
有个root,acid,还有个saman
接下来似乎没有什么思路了,在毫无头绪的时候,从起点(/---根)开始慢慢来... ...查找
进入到我们经常进入的bin目录下看看,发现一个比较奇怪的文件raw_vs_isi
进入到raw_vs_isi文件后发现一个Wireshark的文件
我们把它使用python下载下来使用Wireshark看一下
追踪tcp流然后任意右击流量选择Follow选项选择TCP Stre... ...
经过翻译得出大概意思为saman用户的密码是1337hax0r。
接下来进行切换用户提升到root
切换用户为 saman,密码就是刚才得到的1337hax0r
然后提到root权限sudo -i,密码就是刚才得到的1337hax0r
flage就在root的根目录下
总结:
本靶机通过arp的扫描发现了目标主机的地址,之后又通过nmap进行端口扫描发现了目标开放了3347端口并且有一个http服务,然后进行站点探测查看站点源码发现了一串字符,经过解码发现了一个jpg文件但是访问不到猜测在其他目录,然后通过目录扫描发现了一个命令注入漏洞,通过meterpreter拿到了目标主机的shell之后在sbin目录中的raw_vs_isi的目录发现了一个wireshark的文件,通过python下载下来之后查看之后发现包含用户密码之后切换到saman用户进行了提权发现flag在根目录下。
至此打靶完成!如有做得不对或不懂的地方可在评论区评论本人看到会第一时间回复。
