PwnLab:init

下载地址:

https://download.vulnhub.com/pwnlab/pwnlab_init.ova

实战操作

靶场IP地址:192.168.0.27

扫描靶场端口信息

┌──(root💀kali)-[~/Desktop]
└─# nmap -sV -p1-65535 192.168.0.27                                                                                                                                                                                                    
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-30 08:15 EST
Nmap scan report for 192.168.0.27
Host is up (0.0026s latency).
Not shown: 65531 closed ports
PORT      STATE SERVICE VERSION
80/tcp    open  http    Apache httpd 2.4.10 ((Debian))
111/tcp   open  rpcbind 2-4 (RPC #100000)
3306/tcp  open  mysql   MySQL 5.5.47-0+deb8u1
41133/tcp open  status  1 (RPC #100024)
MAC Address: 00:0C:29:E5:CA:92 (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.47 seconds

扫描80WEB端口服务。

访问80端口WEB服务,点击upload功能提示需要登录。

尝试使用SQL注入是测试,发现不可以。

然后注意到像这种URL:http://192.168.0.27/?page=login,很大程度存在本地文件包含漏洞。nikto扫描到config.php文件,直接文件包含config.php

base64解密

MySQL连接上去,发现用户名密码(base64加密)。

解密用户密码。

上传反弹shell,提示只允许图片文件上传。

修改上传后缀,报错ERROR 001。

修改上传类型,报错ERROR 002。

修改上传类型以及添加图片头。

尝试本地文件包含图片木马,但是失败。

http://192.168.0.27/?page=php://filter/read=convert.base64-encode/resource=upload/450619c0f9b99fca3f46d28787bc55c5.gif

本地包含index.php文件。

可以发现index.php源码里面有个cookie的lang参数,存在文件包含漏洞。

lang参数文件包含到Linux密码文件。

本地文件包含图片木马,nc反弹。

使用bash终端,方便显示。

查看home目录发现之前MySQL的几个用户。

使用上面kane密码进行提权,找到msgmike一个二进制文件。

可以看到msgmike尝试查看mike目录msg.txt

猜测msgmike源代码

查看环境变量,因为为该组设置了 SUID 位,正如您所看到的,Mike 在mikekane组中。

查看mike目录msg2root文件。

猜测msg2root源代码

直接nc反弹,虽然可以root,但是最后查不到flag.txt

image-20230208155711180
上一页Pwned1下一页PWNOS:1.0

最后更新于

这有帮助吗?