Vulnhub-venom

对于该靶机,注意利用了信息收集来的21端口和80端口,网站源码发现账户,ftp匿名登录密码猜测,维吉尼亚解密,后台管理员登录,CVE文件上传RCE漏洞利用反弹shell,提权有两中,利用版本内核提权和查看泄露的信息一步步提权,最终利用suid下的find命令提权

一、靶机搭建

选择打开选项

选中下载的ova文件,然后导入选择一个存放路径即可

二、信息收集

靶机信息

php 复制代码
Name: Venom: 1
Date release: 24 May 2021
难度:中级
描述:这台机器是为OSCP准备而创建的。这个盒子是用virtualbox创建的。如有任何疑问,请在推特上联系我:@avi0813。枚举是关键。

扫ip

靶机ip:192.168.108.156

扫开放端口和服务

可以看到端口数量,但是22端口和7070,8084 端口是关闭

指纹探测

执行以下命令

bash 复制代码
nmap 192.168.108.156 -p 21,22,80,446,7070,8084 -sV -sC -O --version-all 

目录扫描

dirsearch扫描,没什么泄露信息

然后dirb扫描

三、Web渗透

信息收集

21端口,可以尝试ftp连接,需要账户密码

80和443端口

看看源码,发现一个hash值

解密成功:hostinger

没什么头绪了,看看历史漏洞,发现一个命令执行漏洞

下载下来看看,尝试利用但是不成功

ftp匿名登录

ftp连接一下,用户名为源码泄露1的那个,发现需要密码,尝试密码和用户名一致,成功进入

找一找可以利用的,发现一个文件

切换路径到**/files** ,然后使用get命令下载文件到本地

bye退出

查看该文件,得到提示

翻译一下看看

整理一下:

bash 复制代码
你需要利用"hostinger"   #可能是什么关键东西
需要一些密码知识来解码dora密码。。  #可能是用户名
主机:venom.box  #一个网站
密码:xxxx  解开及是管理员密码

先解码第一个,经过两次base64解 码,得到一个提示,标准的维吉尼亚密码

解密第二个,得到一个解码网站:https://cryptii.com/pipes/vigenere-cipher

访问该网站,密钥设置为上面的关键字

php 复制代码
密文:L7f9l8@J#p%Ue+Q1234  明文:E7r9t8@Q#h%Hy+M1234

CVE-2018-29422文件上传RCE漏洞

venom.box网站设置域名解析

点击此处

一个登录界面,发现系统版本,Subrion CMS v4.2.1

查找历史漏洞,发现一个文件上传RCE漏洞

下载下来查看

参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE

bash 复制代码
sudo python3 49876.py -u http://venom.box/panel/ -l dora -p E7r9t8@Q#h%Hy+M1234

可以拿到shell,但是无法切换成交互模式

换另一种方式,登录管理面板,密码为维吉尼亚解密密码

成功登录,是管理员,点击设置查看

进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点

发现此处,可以进行文件上传

点击该处可以上传

先上传一个txt文件试试,上传成功

上传一个php文件,上传之后无法访问,应该是被过滤

bash 复制代码
track
<?php system($_GET["a"]); ?>

可以看到路径

由于上面漏洞利用代码给了地址,访问一下,可以看到需要使用pht或phar后缀上传

bash 复制代码
exp文章:https://github.com/intelliants/subrion/issues/801

在这个网站生成反弹shell:https://www.ddosi.org/shell/

新建**.pht**文件然后上传即可,访问该路径

攻击机开启监听,反弹成功

四、提权

先切换为交互模式

查看suid权限

查看内核版本,发现Ubuntu 18.04

CVE-2021-3493 内核版本提权

搜索历史漏洞

下载下来查看

给了使用方法

开启web服务在靶机下载该脚本

执行不成功,赋予权限后也是如此

在该网站成功找到exp

bash 复制代码
exp文章:https://github.com/briskets/CVE-2021-3493

下载到kali

开启web服务并使用wget命令下载到靶机,赋予权限并编译,然后执行

提权成功,进入**/root** 目录,发现flag

SUID提权

进入/home目录,然后查看,发现两个文件,先看第一个

没有什么可用信息

看另一个文件,权限不够,无法查看,看来还有隐藏信息

进入存放网站源码的文件,大家在刷靶场或者遇到一些框架型漏洞,在拿到shell后可以进入源码存放文件下查看,往往容易出现信息泄露

发现一个subrion文件夹,应该是管理系统的源码,查看,发现系统备份文件,查看

发现**.htaccess**文件

看样子应该是拿到信息泄露了

bash 复制代码
FzN+f2-rRaBgvALzj*Rk#_JJYfg8XfKhxqB82x_a

想起来之前切换另一个文件夹权限不足,可能是它的密码,su登录,成功

因为有了密码,所以第一想法看看无权限执行命令,发现su命令可以用

但是利用不成功

查看SUID权限,发现find命令可以用

ok,打开我们的https://gtfobins.github.io网站,看看利用方式

直接执行即可

相关推荐
还鮟3 小时前
CTF Web PHP弱类型与进制绕过(过滤)
php·ctf
2501_915921433 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918413 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915909067 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915921439 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9160074714 小时前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9160137415 小时前
用Fiddler中文版抓包工具掌控微服务架构中的接口调试:联合Postman与Charles的高效实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
00后程序员张17 小时前
调试 WebView 接口时间戳签名问题:一次精细化排查和修复过程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Whoisshutiao18 小时前
Python网安-zip文件暴力破解(仅供学习)
开发语言·python·网络安全
柴郡猫^O^18 小时前
OSCP - Proving Grounds - DC - 1
安全·网络安全·安全性测试