526互联

vul -- Cybero靶机渗透

发布时间 2023-06-02 17:18:04作者: 电脑又宕机了

(ps:做这个靶机时参考了很多大佬的文章,有些地方属于自己抠破头破也想不到,还有这篇文件就是对自己学习的一个记录,大佬们轻点喷)

信息收集

先获取靶机IP,这里也可以使用arp-scan获取靶机IP

 

获取到靶机IP为172.16.6.207,使用nmap对靶机进行更详细的信息扫描

nmap -A -p- -T 5 172.16.6.207

 

21端口被过滤,开启了22端口,80端口,8085端口,php版本为5.4.16,apache版本为2.4.6,系统版本为3.10-4.11。以上是我们现阶段收集到的信息,尝试使用网页进行访问查看有没有其他信息。

 

直接访问是一副蒙娜丽莎的画,查看源代码看看有没有其他信息

 

有一个log.png,下载该图片使用strings进行查看。

 

 

啥都没有换另一个端口试试

 

像一个查询页面,翻译内容大致为:你能给我打电话吗?我就是谷歌!我什么都知道,还有你的名字:)  只有3次

查看页面源代码看看

 

没有什么东西,尝试进行网页扫描。

 

80端口没有什么内容,尝试对8085端口进行扫描。

 

有个login,访问看看

 

没啥用,不信邪再用dirb进行一次扫描

 

发现一个userapp网页目录,进行访问查看

有一个sql后缀的文件,进行下载,然后分析。

 

social_media 翻译过来就是社交媒体,将二进制转字符串试试(解密网站:CyberChef (gchq.github.io)

 

解出来又是一段加密,尝试hex转字符串试试

 

一个社交媒体网站,因该是作者的网站,在浏览器进行访问

 

这里因该有一个flag,但是页面已经无法访问了。尝试另一个网页

 

网页存在命令执行,输入命令 ping -c google.com;whoami即可

 

跟着提示继续走,是一个文件上传点

 

用burp抓包然后上传文件,对文件后缀进行fuzz测试

设置爆破点位

 

payload设置

 

成功获取flag。

 

并获取了下一个访问点

 

一张图片,翻译英文为:细节决定成败。查看源代码看看

 

就一段英文,下载图片用strings工具进行查看。

 

没啥内容,使用binwalk工具进行分析

 

图片里也没有藏文件,没啥结果尝试用burpsuite进行抓包看看

 

这里有提示因该是将agent内容改成007,尝试一下

 

 

拿到flag,得到下一个访问点

 

URL改变了,尝试进行文件包含

啥都没有,猜测可能还是要将图片中提示请求内容中AGENT改成007后再放包即可

 

成功,确定存在文件包含,想起上一题有一个文件上传,我们包含我们自己上传的木马进行查看

 

没有报错因该是没有问题,使用msf中的multi/script/web_delivery模块生成

 

设置target,SRVHOST,SRVPORT,LHOST,payload

set target 1

set SRVHOST 127.0.0.1

set SRVPORT 6666

set LHOST 127.0.0.1

 

 再网页中文件包含上传的图片码(再前面文件上传处随意上传一个jpg一句话木马即可)

 

(注意:此处user Agent需要一直保持007,否则无法利用)

成功得到结果,使用sessions进行连接

得到shell,查看是否有python

 

使用python返回一个命令行

python -c "import pty;pty.spawn('/bin/bash')"

 

查看是否可以进行提权,用户为apache,我们没有该用户密码无法使用sudo,ps -ef中没有可以利用的进程

 

查看拥有suid权限的文件。

 

无法利用,有一个可以但是需要sudo我们不知道当前用户密码所以无法使用,再/var/ftp文件夹中有一个cybero.txt文件,查看文件内容。

 

获得flag,以及一个密码我们进行sudo -l,看看是不是apahce用户的密码

 

并不是,查看/etc/passwd,其时密码几乎明示了账户

 

使用ssh进行远程连接。

 

登录成功,使用sudo -l查看

 

无法运行sudo,再该路径中发现一个文件,文件好像是一个提权文件

 

应该是用这个文件进行提权,赋值到tmp目录,然后使用gcc进行编译

 

没成功

 

看来因该是不行,但是再该文件夹下有一个endofthegame.py文件,该文件是root所有,拥有最高权限,怀疑因该是一个定时执行的文件,在文件中写入内容。

 

过个一两分钟就会出现一个bash

 

/tmp/bash -p即可进行提权

 

 

 

 

内容总结:

同类型工具不能只依赖一种工具因该多种配合使用,文件上传可以通过fuzz测试来进行文件后缀猜测,编码解码可以使用多种进行解码,binary,hex(hex可以不带0x这种后缀),搜索框不止可以进行sql注入也可以进行命令执行,在文件包含时,包含的木马文件可以通过&符号连接密码往密码中输入内容进行利用(例子:&eiu=system(ls);),有时候图片提示真的只是图片中的内容,msfconsole中的exploit/multi/script/web_delivery模块可以进行web木马生成,设置target为1即可生成php的木马,尝试用蚁剑连接失败了,在提权中没有密码不要一直尝试一个用户,可能其他目录存在某用户的密码,多看看其他文件夹,需要多去了解一些延迟文件提权的内容,脑子要灵光。 

 

工具:nmap,arp-scan,burpsuite,hackbar,msfconsole,drib,dirsearch,御剑。

 

参考文章:

http://blog.bilala.top/?p=355#level3

https://blog.werner.wiki/penetrate-cybero/