1.信息收集
输入arp-scan 192.168.239.0/24
探测存活的IP
使用nmap对192.168.239.166进行扫描,发现IP端口21、80、139、443、445。
在浏览器上访问http://192.168.239.166/
,查看源码发现类似md5加密。
解密md5可以得到为hostinger。
输入enum4linux 192.168.239.166
,进行SMB探测,可发现存在nathan、hostinger两个用户。
使用上述两个用户登录ftp,发现hostinger\hostinger可以登录成功,并发现存在hint.txt文件。
使用get hint.txt下载文件,并查看文件可得用户名为dora
解密可知为:E7r9t8@Q#h%Hy+M1234
。
2.漏洞利用
将venom.box加入/etc/hosts文件中,并访问http://venom.box/panel/,发现为Subrion CMS v4.2.1。
使用searchsploit Subrion CMS搜索发现存在文件上传漏洞
上网查询,可以看到Subrion CMS 4.2.1的上传漏洞为,后缀名可以是phar或pht。
并输入用户名\密码,dora\E7r9t8@Q#h%Hy+M1234登录成功,并上传自己木马。
本地监听nc -lvvp 1234,浏览器访问:http://venom.box/upload/php-reverse-shell.phar,反弹成功。
3.权限提升
切换用户为:hostinger
查看hostinger用户目录下无有用信息。
查看/var/www/html/subrion/backup,下存在.htaccess文件,打开发现类似于密码。
切换nathan用户,发现存在sudo提权,但禁止了su。
执行sudo id发现提权成功。
执行find / -perm -u=s -type f 2>/dev/null,发现存在SUID,find提权。
执行sudo find . -exec /bin/sh ; -quit,提权成功。