menu Miuranatsudaira
vulnhub---vulnuni靶机writeup
181 浏览 | 2020-03-26 | 分类:Vulnhub的旅程 | 标签:

题目描述:https://www.vulnhub.com/entry/vulnuni-1,439/
先使用nmap查找IP,得到IP为192.168.92.140;然后继续用nmap对此ip单独扫描。

然后我们在网站的courses界面中可以找到一个隐藏功能的地址,这里用burpsuite的扫描插件也可以扫出来。

http://192.168.92.140/vulnuni-eclass-platform.html,我们可以看见login按钮
进入后可以到达http://192.168.92.140/vulnuni-eclass/,是一个登陆界面:

这里用sqlmap进行post注入可以得到密码和账户。

sqlmap -r sqlkaka.txt -D eclass -T user -C username --dump

sqlmap -r sqlkaka.txt -D eclass -T user -C password --dump

测试了一下后得到admin的密码为ilikecats89.

这个页面有很多功能,包括phpmyadmin的配置文件,能够得到数据库密码和账户,但是登陆进去后发现并没有写入权限,不能直接写马,这里的过程就略过。

在这个后台界面,我们可以找到一个上传点:

这里有一个上传规则,能上传任意文件上去,但是只有zip文件会被留下,然后后台自动解压给我们放到我们可以看见的位置:

之后记录使用过的三种姿势:
由图可以看到分别传入了cmdphp.php,kaka.php,shell,shellka.php
最开始我使用的最基础的一句话kaka.php

然后直接蚁剑连接得到home下的flag

uname -a发现内核版本可以使用脏牛提权。

网上下载dirtycow脚本后,先在自己的电脑上编译好

gcc -Wall -o dirty exploit.c -ldl -lpthread

使用相同的办法传入靶机。
执行时发现没有权限,能用chmod 777 执行。

----------------------------------------关于chmod---------------------------------------------------

关于chmod 777:
linux系统中,每个用户的权限划分很细致严格。
操作文件和目录的用户,由三种不同的类型:文件所有者,群组用户,其他用户。
最高位表示文件所有者的权限值,依次时群组用户和其他用户。
所以chmod 777的三个7分别对应上面三种用户的权限值。

文件和目录的权限分为3种,只读(read--r)、只写(write--w)和可执行(execute--x)。
其中:
r权限值为4,w权限值为2,x权限值为1.所以7=4+2+1;
因此也能明白chmod 777 filename的意义了。


所以这里用chmod 777 dirty之后在./dirty 123456执行。(下载的dirtycow脚本不同可能输入的参数不一样)
但这里遇见了问题,直接把虚拟机跑死了。。。。。。
所以这里我又上了shellka.php。
这是一个php反向shell脚本,直接用kali自带的。

我们把php-reverse-shell.php复制出来并重命名为shellka.php。
打开我们的文件改成自己的IP和端口号。

还是老办法进行上传
之后在自己的虚拟机用nc监听

nc -nlvp 4444

然后点击一下我们上传的shell文件。

成功连接,但是运行后发现还是会把虚拟机跑死。。。。。。。。。。。。
所以我又只能找第三种办法,上传了之前的cmdphp.php

这里我们便能直接在网页上传参数:

之后找到我们的dirtycow:

进行执行(执行前记得保存快照!!!!!!!!)
时间可能会有些久:

跑完后得到一个firefart账户密码为1234.
su登陆后便可进入root得到flag:

知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!