Vulnhub：CH4INRULZ渗透测试

0x01 环境搭建

靶机IP	攻击IP	备注
172.17.135.35	172.17.135.51	本机
	192.168.179.129	kali
	172.17.135.48	同网段服务器

0x02 环境来源

vulnhub官网：https://download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova

0x03 渗透过程

nmap一波，
网站所属服务器一公扫出有四个端口开启，分别为21、22、80、8011。
21 端口的服务为FTP
22 端口的服务为SSH
80 端口的服务为http，apache服务
8011 端口的服务为http，apache服务

80端口信息收集

先用浏览器看一下80端口的内容。

是一个叫Frank的介绍网站。大致浏览一下内容 ，没有什么重要信息。dirb扫一下。

扫出了8个，依次打开来看


访问development的路由时，提示需要进行权限验证。

还剩一个index.html.bak文件下载下来后，有一串密码

将其使用john工具进行破解

密码为frank!!!，登入后内容如下：

猜测uploader是工具名称。

一个上传文件的页面。
其他文件及路由都是不可打开或者为主页的页面。
80端口除了development有用，没有获取到其他有用的信息。

8011信息收集

继续用dirb扫描8011端口的网站。

进入api路由查看一眼，如下内容：

每个php依次进入查看，只有files_api.php可以打开，内容如下：

提示要进行file参数的传参，

明显使用get不可行。用post尝试查看。尝试看看能不能获取到/etc/passwd。

可以获取/etc/passwd，设想如果知道80端口服务的文件路径，就可以查看相应的知识。
尝试是否能获取apache配置文件。/etc/apache2/sites-enabled/000-default

查看到80端口的文件路径，如下：

查看8011端口文件路径，如下：

可以用files_api.php的功能读取80端口的网站文件，如uploader/upload.php。
经尝试，直接读取是不可行的，他执行了php的相关代码，尝试用php封装协议进行读取。
得到一串base64加密的代码，解密后得到代码。

 500000) {
    echo "Sorry, your file is too large.";
    $uploadOk = 0;
}
// Allow certain file formats
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
    echo "Sorry, only JPG, JPEG, PNG & GIF files are allowed.";
    $uploadOk = 0;
}
// Check if $uploadOk is set to 0 by an error
if ($uploadOk == 0) {
    echo "Sorry, your file was not uploaded.";
// if everything is ok, try to upload file
} else {
    if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
        echo "The file ". basename( $_FILES["fileToUpload"]["name"]). " has been uploaded to my uploads path.";
    } else {
        echo "Sorry, there was an error uploading your file.";
    }
}
?>

经过审计，可以发现图片上传时只对图片头部及后缀名进行审核，上传后的文件夹在FRANKuploads/这里。


除了头部要加入GIF89a，还要进行后缀名的修改。然后进行上传。上传成功。进行nc监控。

脏牛提权

稳定一下bashpython -c 'import pty;pty.spawn("/bin/bash")'

是www-data权限，需要进行提权。
在github上搜索，下载linux-exploit-suggester工具

下载第二个文件的链接。
在同一网段内通过python进行传接，下载到靶机上。

先对下载的c文件进行编译。

之后运行编译好的文件，输入设置的新密码。

用户名密码为：firefart：1234567890
切换用户后，发现是root权限，

进入/root目录下。获取txt文件。

成功。