Vulnhub-venom

H轨迹H2025-03-14 9:33

对于该靶机,注意利用了信息收集来的21端口和80端口,网站源码发现账户,ftp匿名登录密码猜测,维吉尼亚解密,后台管理员登录,CVE文件上传RCE漏洞利用反弹shell,提权有两中,利用版本内核提权和查看泄露的信息一步步提权,最终利用suid下的find命令提权

一、靶机搭建

选择打开选项

选中下载的ova文件,然后导入选择一个存放路径即可

二、信息收集

靶机信息

php 复制代码 
Name: Venom: 1
Date release: 24 May 2021
难度:中级
描述:这台机器是为OSCP准备而创建的。这个盒子是用virtualbox创建的。如有任何疑问,请在推特上联系我:@avi0813。枚举是关键。

扫ip

靶机ip:192.168.108.156

扫开放端口和服务

可以看到端口数量,但是22端口和7070,8084 端口是关闭

指纹探测

执行以下命令

bash 复制代码 
nmap 192.168.108.156 -p 21,22,80,446,7070,8084 -sV -sC -O --version-all

目录扫描

dirsearch扫描,没什么泄露信息

然后dirb扫描

三、Web渗透

信息收集

21端口,可以尝试ftp连接,需要账户密码

80和443端口

看看源码,发现一个hash值

解密成功:hostinger

没什么头绪了,看看历史漏洞,发现一个命令执行漏洞

下载下来看看,尝试利用但是不成功

ftp匿名登录

ftp连接一下,用户名为源码泄露1的那个,发现需要密码,尝试密码和用户名一致,成功进入

找一找可以利用的,发现一个文件

切换路径到**/files** ,然后使用get命令下载文件到本地

bye退出

查看该文件,得到提示

翻译一下看看

整理一下:

bash 复制代码 
你需要利用"hostinger"   #可能是什么关键东西
需要一些密码知识来解码dora密码。。  #可能是用户名
主机:venom.box  #一个网站
密码:xxxx  解开及是管理员密码

先解码第一个,经过两次base64解 码,得到一个提示,标准的维吉尼亚密码

解密第二个,得到一个解码网站:https://cryptii.com/pipes/vigenere-cipher

访问该网站,密钥设置为上面的关键字

php 复制代码 
密文:L7f9l8@J#p%Ue+Q1234  明文:E7r9t8@Q#h%Hy+M1234

CVE-2018-29422文件上传RCE漏洞

venom.box网站设置域名解析

点击此处

一个登录界面,发现系统版本,Subrion CMS v4.2.1

查找历史漏洞,发现一个文件上传RCE漏洞

下载下来查看

参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE

bash 复制代码 
sudo python3 49876.py -u http://venom.box/panel/ -l dora -p E7r9t8@Q#h%Hy+M1234

可以拿到shell,但是无法切换成交互模式

换另一种方式,登录管理面板,密码为维吉尼亚解密密码

成功登录,是管理员,点击设置查看

进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点

发现此处,可以进行文件上传

点击该处可以上传

先上传一个txt文件试试,上传成功

上传一个php文件,上传之后无法访问,应该是被过滤

bash 复制代码 
track
<?php system($_GET["a"]); ?>

可以看到路径

由于上面漏洞利用代码给了地址,访问一下,可以看到需要使用pht或phar后缀上传

bash 复制代码 
exp文章:https://github.com/intelliants/subrion/issues/801

在这个网站生成反弹shell:https://www.ddosi.org/shell/

新建**.pht**文件然后上传即可,访问该路径

攻击机开启监听,反弹成功

四、提权

先切换为交互模式

查看suid权限

查看内核版本,发现Ubuntu 18.04

CVE-2021-3493 内核版本提权

搜索历史漏洞

下载下来查看

给了使用方法

开启web服务在靶机下载该脚本

执行不成功,赋予权限后也是如此

在该网站成功找到exp

bash 复制代码 
exp文章:https://github.com/briskets/CVE-2021-3493

下载到kali

开启web服务并使用wget命令下载到靶机,赋予权限并编译,然后执行

提权成功,进入**/root** 目录,发现flag

SUID提权

进入/home目录,然后查看,发现两个文件,先看第一个

没有什么可用信息

看另一个文件,权限不够,无法查看,看来还有隐藏信息

进入存放网站源码的文件,大家在刷靶场或者遇到一些框架型漏洞,在拿到shell后可以进入源码存放文件下查看,往往容易出现信息泄露

发现一个subrion文件夹,应该是管理系统的源码,查看,发现系统备份文件,查看

发现**.htaccess**文件

看样子应该是拿到信息泄露了

bash 复制代码 
FzN+f2-rRaBgvALzj*Rk#_JJYfg8XfKhxqB82x_a

想起来之前切换另一个文件夹权限不足,可能是它的密码,su登录,成功

因为有了密码,所以第一想法看看无权限执行命令,发现su命令可以用

但是利用不成功

查看SUID权限,发现find命令可以用

ok,打开我们的https://gtfobins.github.io网站,看看利用方式

直接执行即可

相关推荐
2501_915918414 小时前
多账号管理与自动化中的浏览器指纹对抗方案
websocket·网络协议·tcp/ip·http·网络安全·https·udp
网络空间小黑6 小时前
常见WEB漏洞----暴力破解
计算机网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
Johny_Zhao6 小时前
K8S+nginx+MYSQL+TOMCAT高可用架构企业自建网站
linux·网络·mysql·nginx·网络安全·信息安全·tomcat·云计算·shell·yum源·系统运维·itsm
Bruce_Liuxiaowei8 小时前
CTF实战秘籍:跨平台文件合并与数据重构技术
重构·ctf
Suckerbin8 小时前
基于HTTP头部字段的SQL注入:SQLi-labs第17-20关
网络·笔记·网络协议·安全·http·网络安全
csKQL11 小时前
第一章 应急响应-webshell查杀
网络安全·应急响应·玄机
第十六年盛夏.12 小时前
【网络安全】SQL注入
sql·web安全·网络安全
玥轩_52113 小时前
BUUCTF 大流量分析(三) 1
安全·网络安全·wireshark·ctf·misc·buuctf·大流量分析
芯盾时代18 小时前
数据出境的安全合规思考
大数据·人工智能·安全·网络安全·信息与通信
网络空间小黑18 小时前
WEB渗透测试----信息收集
服务器·前端·网络·安全·web安全·网络安全
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04组基轨迹建模 GBTM的介绍与实现(Stata 或 R)05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10【操作系统】Linux之网络编程(TCP)(头歌作业)