VulnHub-Wallaby’s: Nightmare (v1.0.2) 靶场渗透测试

时间:2021.5.2

靶场信息:
地址:https://www.vulnhub.com/entry/wallabys-nightmare-v102,176/
发布日期:2016年12月22日
目标:得到root权限&找到flag.txt

一、信息收集

1、获取靶机IP地址

nmap -sP 192.168.137.0/24

image-20210502132353015

由探测结果可知,靶机的IP为192.168.137.138

2、扫描开放的端口和服务

nmap -sS -sV -T5 -p- 192.168.137.138

image-20210502132421330

得到开放的端口信息:

22/tcp   open     ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
80/tcp   open     http    Apache httpd 2.4.18 ((Ubuntu))
6667/tcp filtered irc

3、网站信息收集

image-20210502132822868

随便输入一个名字,然后开启这次ctf

image-20210502133009282

看url的格式,猜测这里可能存在本地文件包含

image-20210502133153729

发现两个用户先保存下来:steven和ircd,使用nikto扫描一下

image-20210502133558357

修改url,再次访问发现连接失败了,网页也打不开了,很有可能80端口关闭了

image-20210502133630991

我们再用nmap扫描一下

image-20210502133819052

发现80端口关闭了,60080端口开启了http服务

image-20210502134154001

我们再访问?page=发现可以访问,用dirb对?page=进行爆破

image-20210502134306875

二、漏洞探测

访问?page=mailer

image-20210502134417286

查看源代码,发现注释中的href标签

image-20210502134555735

mail参数后面可能可以传递命令

image-20210502135005084

三、漏洞利用

尝试使用metasploit进行反弹shell

image-20210502135552602

将生成的命令传递给mail参数

image-20210502135913523

image-20210502140105252

四、提权

查看他版本发现可以利用脏牛提权

EXP

image-20210502143612596

拿到root权限,获取flag

image-20210502143643419

总结

参考网上的资料,发现还有一种提权方式。

posted @ 2021-05-02 14:45  l2sec  阅读(264)  评论(0编辑  收藏  举报