前言
學校給開的培訓課的作業,正好記錄一下。
我自己拿不到root許可權,所以還是參考了一下別人的教程
參考:紅隊打靶:pWnOS1.0打靶思路詳解之webmin漏洞利用(vulnhub)_pwnos1.0靶機-CSDN部落格
pWnOS1.0
檢視靶機網路
先檢視kali的ip:
ifconfig
apr掃描獲取該網段所有主機
掃描後可以知道靶機ip為192.168.68.160
arp-scan --interface=eth0 192.168.68.0/24
檢視靶機服務
使用nmap掃描開放埠及服務
開啟了22,80,139,445,10000埠
nmap -sV 192.168.68.160
滲透測試
嘗試爆破root登入ssh失敗
80埠(無法獲取root許可權)
看80埠,瀏覽器訪問
dirsearch掃一下目錄
dirsearch -u http://192.168.68.160:80 -x 403
訪問/php是到phpMyAdmin頁面,不知道賬號密碼,另尋他路。
訪問index1.php,即主介面點選next
頁面中有幾個按鈕,測試後沒發現東西
發現url中有兩個引數都是true,嘗試更改看看
更改之後又報錯資訊,發現使用了include函式,並且值就是引數connect的值,試試任意檔案讀取。
可以讀取passwd但是許可權不足無法讀取shadow檔案
這裡我們獲得了幾個/bin/bash的使用者:root,vmware,obama,osama,yomama
我們嘗試使用hydra爆破這幾個使用者的ssh密碼。
(因為提前知道密碼,所以這裡用自定義密碼本減少下時間)
hydra -L user.txt -P pass.txt 192.168.68.160 ssh
登入成功,但不是root許可權。
10000埠(root許可權)
總體思路,利用webmin的漏洞進行任意檔案讀取,使得root使用者執行反彈shell指令碼
10000也是http服務,用瀏覽器訪問一下。
是一個webmin的介面
使用searchsploit搜尋webmin的漏洞指令碼,這裡使用1997.php
下載下來1997.php
使用php執行後可以看到使用方法
嘗試讀取/etc/shadow可以讀取,說明是root許可權進行讀取的,所以我們們利用這個漏洞讓root執行反彈shell。
使用kali自帶的反彈shell,並開啟http服務,讓之前得到的vmware使用者下載到shell.cgi檔案。
同時修改shell.cgi檔案中的配置,設定成kali的ip,還有nc監聽的埠
另開一個終端,登入vmware,成功下載下來,並新增可執行許可權。
之後在kali裡使用nc進行監聽(埠為shell.cgi裡配置的埠)
另開一個終端,使用1997.php讓伺服器執行shell.cgi
出現這樣表示成功了,回到nc的那個終端裡。
成功獲取到了root許可權。
