网络安全从0到0.5之Photographer靶机实战渗透测试

Photographer靶机

环境配置

download:

https://download.vulnhub.com/photographer/Photographer.ova

信息收集

获取到靶机的mac地址来进行查找ip地址

wKg0C2HmN8KAZbmtAAAQwKs5m6Y940.png

nmap -sP 172.16.10.0/24

wKg0C2HmOKWAZ1gQAAAaW5vvLOw302.png

使用nmap进行对端口的扫描

wKg0C2HmOMGAeJEPAACLnhlQQbc101.png

发现开放了80,139,445,8000端口

smbclient

因为看到有139和445端口开放,所以是存在smb服务的,并且靶机系统是linux,使用smbclient工具来进行查看是否有共享的文件

wKg0C2HmUV2Aaxz1AABRUBnR5kQ003.png

发现是有sambashare这个文件存在的

smbclient //172.16.10.169/sambashare #ftp客户端一样进行连接

wKg0C2HmUYqAJ4VqAABCLTqbtKs422.png

进行连接后发现有两个文件,使用get命令将文件进行下载

wKg0C2HmUbeAKqQAABFk6TSYnw660.png

里面的mailsent.txt文件是一个邮件的内容

wKg0C2HmUcqAToCAACPvqkurSg179.png

可以看到发送人是agi@photographer.com(agi)

而接收人是daisa@photographer.com(daisa)

在信件的内容中写到,你的网站准备好了,不要忘记你的秘密,my bodygirl

这个秘密就很值得怀疑,并且还是跟网站相关的

那就先去查看一下80端口的网站

image-20220118112342184

使用dirb工具进行对网站目录的扫描

image-20220118112356838

进行查看后没有发现什么有用的信息

那就继续对8000端口进行访问

wKg0C2HmUeOAcB0eAAAlC4R72O0496.png

image-20220118112419560

点击页面最下面的链接

wKg0C2HmUfmAOMlOAAB1zisVHbw477.png

发现这个网站是一个cms,提供一流的照片和视频管理、博客、网站发布,并具有用于购买主题和插件的集成店面

所以像这样的cms一定会有后台的登录页面,一般的后台管理页面就是admin.html、login.php、admin.php、admin等,进行尝试后

wKg0C2HmUhOAflDzAACk2LV14yk822.png

这里需要输入邮箱账号和密码,那就能联想到之前在smb服务中拿到的邮件文件

daisa@photographer.com:babygirl

wKg0C2HmUimAGLqFAABvo8XDIE555.png

可以看到有一个视频的文件名字为shell.php,首先这个网站的语言肯定是php语言的,并且是可以进行上传文件的

文件上传

wKg0C2HmUkeAK4hyAABEBDErDg436.png

并且在上传页面上也有提示能上传的文件类型

可以使用抓包工具进行上传文件

可以先使用msfvemon来生成木马文件

wKg0C2HmUmKAdhWRAAAhd8fNt5c903.png

然后将文件内容进行写入抓包工具

image-20220118112554447

因为允许上传jpg等文件

所以在进行上传时需要将文件名进行修改

wKg0C2HmUpCAdWCvAAAix8EoGg327.png

但是在上面的文件名也需要进行修改

image-20220118112614933

将数据包进行发送

反弹shell

成功后,在metasploit中打开监听的模块

use exploit/multi/handler

对上传的文件进行访问,拿到网站用户的权限

wKg0C2HmUqKAFZ8jAABFfUZSLxA998.png

wKg0C2HmUrOAV3IMAAAW1XbQq7E063.png

获得了www-data用户的权限

image-20220118112658689

看到home目录下有三个目录

image-20220118112711520

wKg0C2HmUs6AD9YZAAAg4HmUEcU568.png

拿到了第一个flag文件

提权

find -perm -u=s -type f 2>/dev/null

wKg0C2HmUuGAVnGZAACkvHj9AMI606.png

可以使用php7.2这个有suid权限来进行提权

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

wKg0C2HmUveANnCVAAA7MbWBm0015.png

可以拿到root权限

wKg0C2HmUw2AOIcnAAC5v2KncKA414.png

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐